По данным аналитиков, злоумышленники использовали сложную многоступенчатую схему, включающую фишинговые атаки на сотрудников биржи и взлом системы безопасности. О том, как кибер-преступникам удалось получить доступ к средствам и вывести их из криптокошелька, поговорили с ведущим разработчиком Евгением Фроликовым, создавшим систему, которая самостоятельно находит и исправляет уязвимости в программном обеспечении компаний.
«Инцидент с Bybit не случаен. За последние несколько лет криптобиржи неоднократно подвергались атакам хакеров. По статистике, именно кибератаки стали одной из основных проблем, с которыми сталкиваются криптобиржи. Уязвимости в системах безопасности и недостаточная защита данных пользователей оказываются благодатной почвой для преступников, а нехватка опытных специалистов в области кибербезопасности также усугубляет ситуацию.
Главная особенность этого взлома — не «классическое» похищение приватных ключей, а захват управления механикой мультиподписи через подмену «мастер-копии» смарт-контракта. Если говорить простыми словами – хакеры нашли способ подменить «двигатель» или базовый код мультиподписного кошелька, на котором хранилась большая часть средств», - рассказывает Евгений Фроликов.
Как это технически стало возможным и почему атака оказалась настолько эффективной?
На большинстве криптобирж холодные (или «апгрейдируемые») кошельки работают так, что код кошелька может быть изменён, если нужное количество подписантов подтвердит «запрос» на обновление. Поэтому хакеры внедрили подменённую транзакцию. Для этого злоумышленники развернули два специальных так называемых смарт-контракта: «Троян» (trojan contract), который создавал видимость безобидной транзакции – то есть выглядел, как обычный запрос на перевод токенов, а также «Бэкдор» (backdoor contract), давал хакерам полный доступ к кошельку после «обновления».
Сотрудники, которые думали, что подтверждают простой перевод токенов, на деле авторизовали обновление кошелька, которое подключало «бэкдор»-контракт злоумышленников вместо исходного безопасного кода.
После того, как подмена прошла, хакеры получили полный контроль над кошельком. Они тут же воспользовались специальными функциями («sweepETH», «sweepERC20») для «выметания» всех средств (эфира и токенов) на свои адреса. Именно поэтому хакерам удалось в считаные минуты перевести 70% Ethereum-активов биржи.
Почему меры предосторожности криптобиржы и обычные проверки могли не сработать?
Во-первых, это заблуждение подписантов: сотрудники, ставящие подпись, полагались на «читаемый» интерфейс, где указаны «безопасные» реквизиты перевода, и не вчитывались в реальный технический код, который подписывали. Однако, реальные данные транзакции были скрыты за интерфейсом. Даже, если в системе настроен многоступенчатый контроль, социальная инженерия или интерфейсная подмена могут ввести в заблуждение сразу нескольких ответственных лиц.
А во-вторых, гибкость апгрейда: возможность менять код кошелька — это удобно, но, если не настроены дополнительные проверки, можно внезапно «обновить» его на вредоносную версию.
Какие уроки из этого вынес для себя мировой рынок криптоиндустрии?
Исходя из своего опыта могу отметить, что для повышения уровня безопасности в индустрии криптовалют должен произойти ряд изменений для большей безопасности платформ. В первую очередь, платформам следует инвестировать в технологии защиты и нанимать экспертов по кибербезопасности. Криптобиржи должны разработать более строгие протоколы безопасности, включая многофакторную аутентификацию и шифрование данных пользователей.
Вторым важным шагом должно стать открытие доступа к запасным фондам. Создание отдельных, хорошо защищенных резервов позволит предотвратить полные потери средств пользователей в случае успешной атаки. Также активно следует проводить регулярные аудиты безопасности и тестирование систем на уязвимости. Если говорить про главные уроки для рынка, я бы перечислил следующее:
- Регулярный аудит апгрейдируемых контрактов. Любые «upgradeable proxy» должны проверяться на предмет возможности несанкционированной смены «мастер-копии».
- Прозрачность транзакций: люди, отвечающие за подписи, должны видеть не только «красивое описание» операции, но и проверять, какой именно код будет запущен.
- Ограничение прав апгрейда. Можно использовать более строгую модель, при которой изменение контракта возможно только после «временного окна», чтобы у других подписантов и аудиторов был шанс обнаружить аномалию.
- Разделение ролей. Не все подписанты должны иметь равный вес при апгрейде кошелька. Можно назначить «специализированных» подписантов, которые отвечают только за технические обновления, проходящие через отдельную процедуру проверки.
Кража 1,46 миллиарда долларов с криптобиржи Bybit является тревожным сигналом для всей индустрии. Такие события подчеркивают важность безопасности в сфере криптовалют и необходимость внимательного отношения к защите данных пользователей. Понимание нюансов кибербезопасности и принятие профилактических мер — это важные шаги для защиты как платформ, так и инвесторов. Только совместными усилиями можно создать безопасную среду для торговли и инвестиций в криптовалюты, которая будет способствовать росту доверия и укреплению рынка.