Федеральное бюро расследований (ФБР) США обвинило хакеров, связанных с властями Северной Кореи, в краже криптовалюты почти на $1,5 млрд с одной из крупнейших в мире криптобирж Bybit. По данным спецслужбы, хищение произошло 21 февраля с помощью пакета вредоносных программ, которому ФБР дало условное название TraderTrailor («Трейдер-предатель»). После этого северокорейские хакеры перевели часть украденных средств в биткойны и другие виртуальные активы, распределенные по тысячам адресов на нескольких блокчейнах. «Ожидается, что эти активы будут дополнительно отмыты и в конечном итоге конвертированы в фиатную (традиционную. — ТМТ) валюту», — говорится в сообщении ФБР.
До этого криптобиржа Bybit сообщила о взломе одного из своих Ethereum-кошельков. В результате хранившаяся на нем криптовалюта была переведена на неизвестный адрес. Позднее основатель биржи Бен Чжоу рассказал, что общий ущерб от хакерской атаки составил примерно 401 тыс. ETH. На момент взлома эта сумма равнялась примерно $1,4 млрд. Эксперты отмечали, что это крупнейшее в истории похищение криптовалюты, а, возможно, и самое крупное ограбление в принципе. По данным представителей криптобиржи, хакеры провели атаку во время перевода средств из наиболее защищенного «холодного кошелька», доступ к которому можно получить только при помощи двух или более цифровых подписей. Злоумышленникам удалось подменить интерфейс подписания, в результате во время перевода отображался правильный адрес, но был нарушен алгоритм, по которому переводились средства между сторонами. После того как хакеры вывели валюту из «холодного кошелька», они распределили ее по другим адресам. Скомпрометирован был только один кошелек и на работу биржи атака не повлияла, отмечал Чжоу.
Специалисты сразу указали на то, что за кражей могут стоять северокорейские хакеры из группировки Lazarus Group, также известной под названиями APT38, BlueNoroff и Stardust Chollima. Они проследили движение похищенных средств до криптокошельков, которые уже использовались при взломе других бирж. Группировка Lazarus Group существует как минимум с 2009 года, а с 2019-го находится под санкциями США. Эксперты NCC Group ранее предполагали, что все атаки группировки санкционированы правительством КНДР, поскольку в стране нет свободного доступа в интернет.
Всего с 2017 года хакеры Lazarus Group похитили криптовалюты на сумму более $6 млрд, подсчитывали ранее в аналитической компании Elliptic. В ООН год назад ущерб от деятельности северокорейских хакеров оценивался в $3 млрд за последние шесть лет. В организации отмечали, что эти средства идут на финансирование ядерной и ракетной программы КНДР.
