Взлом Bybit на $1,5 млрд спустя полгода. Как инцидент изменил индустрию

С момента исторического взлома биржи Bybit прошло ровно полгода. Тогда злоумышленники завладели примерно $1,46 млрд в Ethereum (ETH) и токенах ERC-20. GetBlock AML Research подводит итоги противодействия северокорейским хакерам и объясняет их методы отмывания похищенной криптовалюты.

Согласно недавнему отчету компании zeroShadow, уже более $1 млрд украденных средств удалось отмыть. Вряд ли все эти деньги на каждом этапе оставались под полным контролем северокорейских хакеров. Считается, что с самого начала они подключили профессиональные сервисы по отмыванию «под ключ»: те выплачивали Северной Корее оговоренную сумму за вычетом своей комиссии. Эту версию подтверждают и жалобы пользователей: иногда сервисы блокировали средства, украденные с Bybit, и отмывальщики пытались «спасти» деньги не ради клиента, а ради собственной прибыли.

Визуализация: Elliptic

Темпы отмывания похищенных активов в первые дни после взлома

Большие объемы

Обычно похищенные Северной Кореей средства лежали на кошельках неделями или даже месяцами, прежде чем начиналось движение. В случае с Bybit деньги начали активно переводить сразу. Это связано с тем, что атака привлекла огромное внимание: к расследованию подключились криптосообщество, аналитики и даже правоохранители.

Кроме скорости, заметна и сложность схем отмывания. Обычно применяются стандартные приемы: перевод через разные блокчейны и сервисы-анонимайзеры. Но в случае с Bybit злоумышленники многократно «мешали» монеты, гоняли их через разные блокчейны и сервисы, создавая дополнительные слои запутывания. Иногда они даже использовали малоизвестные блокчейны, чтобы затруднить расследование.

Визуализация: EllipticСвязь кошельков для отмывания с разными блокчейнами

Новые методы

Для разных частей украденных средств применялись разные схемы — это намекает на то, что работали несколько независимых команд отмывальщиков.

Иногда они пытались экономить на комиссиях:

• покупали специальные токены, которые снижали стоимость транзакций,
• использовали сервисы аренды энергии в сети Tron вместо стандартных платежей в TRX,
• применяли «адреса возврата».

Последний метод выглядел так: некоторые сервисы позволяют указать отдельный адрес для возврата средств, если транзакция не прошла. Обычно деньги возвращаются обратно отправителю. Но хакеры указывали новый «чистый» кошелек, куда переводились возвращенные средства. В результате след пропадал. При этом сервисы все равно брали комиссию за обработку, что показывает: этот трюк придуман не специально для анонимности, но помог скрыть переводы.

Визуализация: Elliptic

Использование адресов для возврата средств

Миксеры и анонимные кошельки

Часть украденных средств была переведена в биткоины и прогнана через Wasabi Wallet (CoinJoin-кошелек) и разные миксеры. Использование Wasabi было особенно высоким — намного выше, чем в предыдущих кражах Северной Кореи. А вот Tornado Cash использовали реже. Также применялись малоизвестные миксеры: Cryptomixer, Jambler, Coinomize и другие. Это связано с тем, что многие привычные для КНДР сервисы закрыли: например, Chip Mixer и Sinbad.io. Поэтому пришлось искать больше новых инструментов.

Бесполезные токены

Хакеры создали новый никому не нужный токен, сделали для него пул ликвидности с USDT и начали обменивать украденные стейблкоины на этот токен. За счет этого создавалась «видимость ценности». Потом с других адресов эти токены снова обменивались на USDT, и процесс отмывания продолжался. Так удалось «спрятать» около $24 млн.

Схема создания бесполезных токенов для отмывания активов

Вывод в наличные

В конечном итоге большая часть средств оказалась в блокчейне Tron и была переведена в USDT. Потом их «обналичили» через китайские OTC-сервисы (неофициальные обменники), которые каждый год меняют криптовалюту на миллионы долларов наличных и почти не задают вопросов клиентам. Многие из этих сервисов связаны с группой Huione.

Угроза остается

Несмотря на огромную сумму, украденную у Bybit, Северная Корея продолжает воровать криптовалюту и в 2025 году. Их методы:

• внедрение IT-специалистов в криптопроекты (они сначала работают честно, а потом взламывают работодателя),
• поддельные звонки в Zoom или Google Meet с установкой вредоносного кода,
• «подставные» вакансии для разработчиков, где вместо тестового задания подсовывают зараженные репозитории.