21 lutego 2025 roku giełda kryptowalut Bybit padła ofiarą największego w historii ataku hakerskiego, w wyniku którego skradziono około 1,5 miliarda dolarów w tokenach Ethereum (ETH). Atak ten uwidocznił poważne luki w zabezpieczeniach scentralizowanych platform kryptowalutowych i wywołał falę niepokoju wśród inwestorów.
Przebieg ataku
Według oficjalnych informacji, hakerzy uzyskali dostęp do zimnego portfela Ethereum należącego do Bybit. Podczas rutynowego transferu środków z zimnego portfela do portfela operacyjnego, napastnicy zmanipulowali proces, przechwytując transakcję i przekierowując środki na nieznany adres. W wyniku tego incydentu skradziono 401 347 ETH, co odpowiada wartości około 1,5 miliarda dolarów.
Eksperci ds. cyberbezpieczeństwa wskazują, że atak był wyjątkowo dobrze przygotowany i prawdopodobnie obejmował wewnętrzne rozpoznanie procedur transferowych Bybit. Niektóre źródła spekulują, że hakerzy mogli wykorzystać podatności w infrastrukturze zabezpieczeń lub przejąć dane uwierzytelniające kluczowych pracowników giełdy.
Reakcja Bybit
Ben Zhou, dyrektor generalny Bybit, zapewnił użytkowników, że mimo utraty środków giełda pozostaje wypłacalna, a wszystkie aktywa klientów są zabezpieczone w stosunku 1:1. W celu pokrycia strat Bybit zabezpieczył pożyczkę pomostową od partnerów i kontynuuje normalne funkcjonowanie platformy. Zhou podkreślił również, że pozostałe zimne portfele są bezpieczne, a wypłaty dla klientów odbywają się bez zakłóceń.
Dodatkowo, Bybit ogłosił podjęcie współpracy z renomowanymi firmami zajmującymi się analizą blockchain, w tym Chainalysis i Elliptic, w celu śledzenia skradzionych funduszy. Firma podjęła także kroki w kierunku wzmocnienia swoich procedur bezpieczeństwa, zapowiadając audyt wewnętrzny oraz wdrożenie bardziej rygorystycznych mechanizmów ochrony środków użytkowników.
Reakcja organów ścigania
Po ujawnieniu ataku na Bybit organy ścigania na całym świecie rozpoczęły śledztwo w celu namierzenia sprawców i odzyskania skradzionych środków. Interpol, Europol oraz amerykańskie FBI podjęły współpracę z firmami analitycznymi zajmującymi się śledzeniem transakcji na blockchainie, takimi jak Chainalysis i TRM Labs.
Amerykański Departament Skarbu zapowiedział, że będzie śledził przepływ skradzionych środków, aby uniemożliwić ich dalszą konwersję na waluty fiducjarne. Władze Singapuru, gdzie Bybit ma swoją siedzibę, uruchomiły specjalny zespół dochodzeniowy we współpracy z tamtejszym organem nadzoru finansowego (MAS).
Wpływ na użytkowników
Atak na Bybit miał znaczący wpływ na użytkowników platformy, wywołując niepewność i obawy dotyczące bezpieczeństwa środków zgromadzonych na giełdach kryptowalutowych. Pomimo zapewnień ze strony Bybit, wielu inwestorów zdecydowało się na natychmiastowe wycofanie środków, co spowodowało krótkoterminowy wzrost aktywności na platformie.
Niektórzy użytkownicy skarżyli się na opóźnienia w realizacji wypłat, co mogło wynikać z konieczności przeprowadzenia dodatkowych weryfikacji bezpieczeństwa. Inwestorzy długoterminowi zaczęli rozważać przeniesienie swoich aktywów do portfeli sprzętowych, aby uniknąć potencjalnych przyszłych zagrożeń. Wzrosło także zainteresowanie platformami zdecentralizowanymi (DEX), które eliminują potrzebę przechowywania środków na scentralizowanych giełdach.
Podejrzenia wobec grupy Lazarus
Analizy przeprowadzone przez firmy Elliptic i Arkham Intelligence sugerują, że za atakiem stoi północnokoreańska grupa hakerska Lazarus, znana z wcześniejszych kradzieży kryptowalut na dużą skalę. Grupa ta była wcześniej odpowiedzialna za ataki na platformy takie jak Ronin Network w 2022 roku, gdzie skradziono ponad 600 milionów dolarów.
Według raportów Lazarus wykorzystuje skradzione środki do finansowania reżimu Korei Północnej, obejmując działania związane z programem nuklearnym i innymi operacjami wywiadowczymi. Grupa ta znana jest z wyrafinowanych metod ataków, w tym spear-phishingu, ataków typu supply chain oraz wykorzystywania złośliwego oprogramowania do infiltracji systemów.
Wsparcie ze strony społeczności kryptowalutowej
W odpowiedzi na atak, konkurencyjna giełda Bitget przekazała 40 000 ETH (około 105 milionów dolarów) na wsparcie Bybit. Gracy Chen, dyrektor generalna Bitget, podkreśliła, że środki te pochodzą z zasobów własnych firmy i mają na celu wsparcie całej społeczności kryptowalutowej w obliczu tego kryzysu.
Dodatkowo, organizacje zajmujące się cyberbezpieczeństwem, takie jak SlowMist i CertiK, zaoferowały swoje wsparcie w analizie incydentu i pomocy w odzyskaniu środków. Społeczność kryptowalutowa wyraziła również zaniepokojenie rosnącą liczbą ataków na giełdy, co wywołało debatę na temat przyszłości regulacji w branży.
Środki bezpieczeństwa wprowadzone po ataku
Po ataku Bybit podjęło szereg działań mających na celu wzmocnienie swojego systemu zabezpieczeń i zapobieganie przyszłym incydentom. Wśród kluczowych zmian znalazły się:
- Zwiększenie ochrony portfeli zimnych – wdrożenie dodatkowych mechanizmów uwierzytelniania i ograniczenie dostępu do portfeli zimnych tylko dla ściśle wyznaczonych pracowników.
- Monitorowanie transakcji w czasie rzeczywistym – zastosowanie zaawansowanych systemów analizy blockchain w celu szybkiego wykrywania podejrzanych transferów.
- Audyt wewnętrzny i zewnętrzny – współpraca z renomowanymi firmami zajmującymi się cyberbezpieczeństwem, takimi jak CertiK i SlowMist, aby ocenić obecne zabezpieczenia i wdrożyć nowe procedury.
- Program bug bounty – uruchomienie programu nagród dla etycznych hakerów, którzy zgłoszą potencjalne luki w zabezpieczeniach giełdy.
- Edukacja użytkowników – kampanie informacyjne mające na celu zwiększenie świadomości użytkowników na temat bezpiecznego przechowywania kryptowalut i stosowania dodatkowych środków ostrożności.
Bybit podkreśliło, że bezpieczeństwo środków klientów pozostaje priorytetem i zapowiedziało regularne testy penetracyjne oraz ciągłe ulepszanie systemów obronnych.
Porównanie z wcześniejszymi atakami
Atak na Bybit nie jest pierwszym tego rodzaju incydentem w historii kryptowalut. W przeszłości miały miejsce inne poważne włamania, które wstrząsnęły rynkiem i skłoniły giełdy do wprowadzania ulepszeń w swoich systemach bezpieczeństwa.
- Mt. Gox (2014) – jedna z pierwszych dużych giełd kryptowalutowych upadła po kradzieży około 850 000 BTC (wówczas wartych około 450 milionów dolarów). Atak doprowadził do bankructwa platformy i długotrwałego postępowania likwidacyjnego.
- Coincheck (2018) – japońska giełda straciła około 530 milionów dolarów w tokenach NEM po tym, jak hakerzy uzyskali dostęp do jej gorącego portfela. W wyniku ataku Japonia zaostrzyła regulacje dotyczące kryptowalut.
- Ronin Network (2022) – jeden z największych ataków, w którym skradziono 625 milionów dolarów. Było to jedno z pierwszych włamań przypisanych grupie Lazarus.
- FTX (2022) – chociaż FTX nie padło ofiarą klasycznego ataku hakerskiego, upadek giełdy i możliwe defraudacje środków klientów miały ogromny wpływ na rynek i doprowadziły do dalszego wzrostu nieufności wobec scentralizowanych platform.
Porównując te ataki z incydentem Bybit, widać wyraźne podobieństwa, zwłaszcza w przypadku Ronin Network i Coincheck, gdzie napastnicy wykorzystali słabości systemowe i infrastrukturalne giełdy.
Wnioski dla inwestorów
Atak na Bybit uwidocznił potrzebę zwiększenia bezpieczeństwa na scentralizowanych giełdach kryptowalut oraz skłonił wielu inwestorów do rozważenia korzystania z portfeli typu self-custody, które dają pełną kontrolę nad własnymi aktywami. Incydent ten przypomina również o konieczności stałego monitorowania i aktualizowania zabezpieczeń w dynamicznie rozwijającym się świecie kryptowalut.
Eksperci podkreślają, że użytkownicy giełd kryptowalutowych powinni stosować dodatkowe środki ostrożności, takie jak dwuetapowa weryfikacja, korzystanie z portfeli sprzętowych i dywersyfikacja środków między różnymi platformami. Dla firm działających w sektorze kryptowalutowym ten incydent stanowi przypomnienie o konieczności ciągłego udoskonalania zabezpieczeń oraz wprowadzania bardziej rygorystycznych polityk ochrony środków użytkowników.
