Пока крупные криптовалютные биржи инвестируют миллионы в безопасность и заявляют о полной защищенности своих активов, реальность показывает: самое уязвимое место — это не код, а человек. Северокорейская хакерская группировка Lazarus вновь напомнила об этом, провернув масштабнейшее мошенничество против платформы Bybit. Вместо лобового кибератаки — изящная социальная инженерия, замешанная на доверии, манипуляции и безошибочном расчёте. Популярный российский форум социальной инженерии Lolzteam опубликовал подробности этой схемы, подтвердив, что кража была совершена не через брутфорс или вирус, а благодаря подмене интерфейса и заблуждению менеджеров биржи. Сумма ущерба — почти 1,5 миллиарда долларов. Как это стало возможным — в подробном разборе. Данные взяты из обзора, представленного здесь https://versia.ru/socialnaya-inzheneriya-pomogla-severnoj-koree-stat-bogache-na-15-mlrd.
Кто такие Lazarus: тень Северной Кореи в интернете
Группировка Lazarus уже более десяти лет фигурирует в отчётах о международных кибератаках. По данным ООН, за хакерской деятельностью стоят не энтузиасты, а спецподразделение при правительстве Северной Кореи. Основная цель — финансирование режима. Lazarus приписывают атаки на Sony Pictures (2014), вирус WannaCry (2017), взломы бирж KuCoin, Ronin Network и других. Общая сумма похищенных активов по разным оценкам превышает 3 миллиарда долларов, и это делает Lazarus самым опасным игроком на цифровом поле.
Холодные кошельки: миф о полной безопасности
Считается, что “холодный кошелек” — надёжное хранилище, ведь он не подключён к сети и потому недоступен для взлома. В действительности это не панацея. Основная уязвимость — момент подключения к интернету для транзакции и участие людей в процессе подписания операций. Именно этим воспользовались хакеры. Сотрудники Bybit использовали холодный кошелёк для хранения 401 346 ETH (на момент кражи — около $1,5 млрд), однако в какой-то момент один из носителей оказался в сети — и это стало точкой входа для атакующих.
- Холодные кошельки защищены от сетевых атак, но не от человеческого фактора.
- Процесс перевода требует ручной подписи — это и есть уязвимость.
- Социальная инженерия — эффективнее, чем вирусы и эксплойты.
Как работала схема социальной инженерии
Суть атаки сводилась к тому, чтобы внедриться в рабочий процесс менеджеров и тех, кто контролирует вывод средств с холодных кошельков. Хакеры выдали себя за технических специалистов, предоставив модифицированный интерфейс, внешне идентичный настоящему. Когда сотрудники биржи вводили ключи и подписывали транзакции, они, по сути, отправляли средства на кошельки Lazarus, даже не подозревая об этом. Этот метод называется spoofing-интерфейс — и это уже не первый случай его успешного применения.
Почему никто не заметил подвоха
Современные системы работают по шаблонам. Пользователь, особенно если он занят рутинной работой, редко проверяет детали. Поддельный интерфейс был настолько реалистичным, что не вызвал подозрений. Более того, Lazarus использовали настоящие имена, корпоративные адреса и стиль коммуникации, идентичный внутреннему. Как утверждают пользователи форума Lolzteam, сотрудники попросту не отличили оригинал от подделки — и подписали перевод без малейшего сомнения.
Роль Lolzteam: не только форум, но и расследование
Форум Lolzteam известен в русскоязычном интернете как площадка, где обсуждаются темы программирования, анонимности, взлома и безопасности. Однако в этом случае его пользователи выступили как расследователи. Именно через их обсуждения всплыли технические детали атаки, подтверждения транзакций и даже копии интерфейса. Тем самым сообщество стало фактически первым, кто раскрыл суть схемы и её участников, обогнав многие профильные СМИ.
- На форуме была опубликована информация о движении средств.
- Пользователи проводили сравнение исходных адресов.
- Анализировались утечки данных и поведенческие паттерны.
Как подтвердили факт кражи $1,5 млрд
Информацию о масштабной краже подтвердил криптодетектив ZachXBT — независимый аналитик, известный по раскрытию десятков схем и взломов. Он показал цепочку переводов, уходящую на анонимные кошельки, имеющие связь с ранее задействованными адресами Lazarus. Интересно, что после атаки курс ETH просел всего на 4% — криптосообщество отреагировало сдержанно. Вероятно, как отмечают пользователи Lolzteam, активы пока не обналичены, а сам факт угона не стал неожиданностью на фоне частых атак.
Почему криптосообщество спокойно
Мир цифровых активов давно привык к рискам. Каждый год происходят десятки атак: от взломов DeFi до мошенничества с токенами. Поэтому утечка $1,5 млрд — пусть и болезненная, но не катастрофическая. Более того, существует мнение, что часть этих средств уже “залегла” на мёртвых кошельках, ожидая обналичивания через миксеры или “мулы”.
Урок для индустрии: главное — не технологии, а люди
Кейс с Bybit и Lazarus показывает: никакие системы безопасности не спасут, если в процессе участвует человеческий фактор. Даже защищённые холодные кошельки могут быть взломаны — не через сеть, а через доверие. Индустрия должна сделать выводы: обучать сотрудников, тестировать интерфейсы, проверять аутентификацию, внедрять многоступенчатые проверки. И, возможно, переосмыслить само понятие “безопасности”.
- Регулярное обучение сотрудников по методам социальной инженерии.
- Проверка подлинности интерфейсов и подписей вручную.
- Внедрение биометрической или физической многофакторной аутентификации.