Тайваньская Крипто Биржа BitoPro стала целью Хакеров из Северной Кореи

2 июня 2025 года краткий пост блокчейн-исследователя ZachXBT в Telegram вызвал переполох в индустрии Крипто Активов: несколько горячих кошельков на тайваньской бирже Крипто Активов BitoPro испытали подозрительные оттоки средств, общая сумма которых составила до 11,5 миллиона USD.

На данный момент прошло почти 3 недели с момента фактической атаки, и биржа только приостановила услуги, ссылаясь на “техническое обслуживание”, не упомянув ни слова о Хакерской атаке.

Хронология событий, от скрытой атаки до публичного раскрытия

Атака произошла между 8 и 9 мая 2025 года. В это время Хакер использовал период окна для обновлений системы кошельков и миграции активов на бирже, чтобы провести рейд на ее старый горячий кошелек.

На несколько публичных цепей оказали влияние: Tron, Ethereum, Солана и Полиго́н Активы горячего кошелька на бирже постепенно выводились. После того как Хакер добился успеха, они действовали быстро, ликвидируя средства по рыночной цене через децентрализованные биржи (DEX) и переводя их в миксер Tornado Cash, или через Торчейн Вклад на Биткойн сеть через кросс-чейн в кошелек Wasabi, пытаясь прервать путь отслеживания средств.

Несмотря на сообщения пользователей о проблемах с выводом средств, официальное заявление BitoPro, подтверждающее атаку, было сделано 2 июня, после того как ZachXBT публично раскрыл это, утверждая, что «активы пользователей в безопасности, и у платформы достаточно резервов.»

Метод обработки, который был скрыт в течение трех недель, вызвал сильные сомнения в сообществе относительно его прозрачности и возможностей управления кризисом.

Анализ техник атак: классическое вторжение социальной инженерии

19 июня BitoPro опубликовал отчет от третьей стороны, подтверждающий, что атакующим была известная северокорейская Хакерская организация Lazarus Group.

Атака показывает его высоко специализированный modus operandi:

• Социальная инженерия фишинг-атака: Хакеры маскируют общение, чтобы нацелиться на сотрудников BitoPro, заманивая их кликнуть на вредоносные ссылки или файлы.
• Внедрение вредоносного ПО: Успешно внедренное вредоносное ПО избегало антивирусных систем биржи, защиты конечных точек и обнаружения облачной безопасности.
• Наблюдение за инфильтрацией: Хакеры долго остаются в компьютерах сотрудников жертвы, наблюдая за операционными процессами, особенно нацеливаясь на облачных бизнес-персон, которые контролируют управление ресурсами Amazon AWS.
• Кража токенов и обход MFA: кража токенов сессии AWS и прямой обход механизмов многофакторной аутентификации (MFA).
• Контролируйте хост горячего кошелька: Подключитесь к C2-серверу злоумышленника, внедрите вредоносные инструкции в хост, отвечающий за транзакции горячего кошелька, и в конечном итоге смоделируйте законные транзакции, чтобы осуществить перевод в 1:00 9 мая.

Этот метод высоко согласуется с предыдущими атаками Лазаря на глобальную банковскую систему SWIFT и несколько бирж, подчеркивая зрелость его шаблона атаки.

Скрытая рука: Тень группы Лазаря

Группа Лазаря не является рецидивистом. Организация широко рассматривается как сеть преступной группировки, поддерживаемой северокорейским режимом, который долгое время стремится украсть Крипто Активы для финансирования своих программ вооружений.

Его криминальное прошлое шокирует:

• В 2016 году попытались украсть 1 миллиард долларов у центрального банка Бангладеш, используя уязвимость в системе SWIFT (в конечном итоге успешно перевели 81 миллион долларов)
• В феврале 2025 года биржа ByBit была атакована, в результате чего произошло рекордное похищение 1,5 миллиарда долларов в Крипто активах.
• Постоянно нацеливаясь на глобальные атаки на цепочку поставок обмена Крипто-активами, эксплоиты уязвимостей и сложные мошенничества с социальной инженерией.

Эксперты по безопасности отмечают, что организация преуспевает в сочетании технических уязвимостей с человеческими слабостями, и инцидент с BitoPro еще раз это подтверждает.

Ответ биржи, меры по восстановлению после потери овец

После того как инцидент был раскрыт, BitoPro принял ряд мер по реагированию на кризис:

• Немедленно отключите систему горячих кошельков, чтобы прервать путь атаки.
• Замените все соответствующие ключи шифрования
• Изолировать зараженные системы и провести восстановление окружающей среды
• Доверьте третьей стороне, занимающейся безопасностью блокчейна, отслеживание украденных средств

Чтобы восстановить доверие, BitoPro активно представил новый адрес горячего кошелька на платформу анализа данных в цепочке Arkham 19 мая, обновив данные о ликвидности для публичного контроля.

Основатель компании Чжэн Гуантай подчеркнул, что “активы клиентов не будут потеряны; любые убытки понесет платформа,” и пообещал улучшить процессы управления кошельками и уровни мониторинга. Финансовая контрольная комиссия Тайваня также вмешалась, потребовав от компании усилить кибербезопасность и представить объяснение инцидента.

Безопасность: Самая уязвимая связь остается «Человеком»

Инцидент с BitoPro, хотя сумма потерь значительно меньше, чем в случае с кражей ByBit на 1,5 миллиарда долларов, выявляет уязвимости в отрасли, которые являются универсальными:

• Периоды обслуживания становятся высокорискованными окнами: во время системных обновлений или миграций активов механизмы контроля рисков могут иметь временные слепые зоны.
• Технические меры защиты трудно противостоять нарушениям социальной инженерии: даже самые сложные межсетевые экраны и механизмы многофакторной аутентификации могут быть полностью скомпрометированы, если сотрудник кликнет на вредоносную ссылку.
• Кризис прозрачности усугубляет падение доверия: задержка раскрытия информации и неопределенная коммуникация часто наносят больший ущерб уверенности пользователей, чем сами события.

“Самый слабый ссылка в любой системе безопасности всегда присутствует человеческий фактор,” заключение, которое было многократно подтверждено в отчетах о безопасности.

Заключение: Эволюция защиты и бесконечная наступательная и оборонительная битва

Атака группы Lazarus представляет собой системную угрозу, с которой продолжает сталкиваться глобальная экосистема Крипто Активов. От Центрального банка Бангладеш, ByBit до BitoPro, их методы атак постоянно развиваются, однако суть остается неизменной: использование человеческих слабостей для преодоления технических барьеров.

BitoPro понесла убытки в 11,5 миллионов USD и обновила свою систему, но более серьезная проблема заключается в том, как биржа может установить внутреннюю контрольную культуру, которая является “анти-социальной инженерией” и добиться быстрого и прозрачного реагирования при столкновении с вторжением.

В мире блокчейна доверие является основной валютой, и каждый инцидент с хакерством проверяет, достаточно ли его истинных резервов.