Тайваньська Крипто Біржа BitoPro стала мішенню для Північнокорейських Хакерів

2 червня 2025 року короткий пост дослідника блокчейну ZachXBT у Telegram викликав підвищений інтерес у сфері Крипто Активів: кілька гарячих гаманців на тайванському біржі Крипто Активів BitoPro зазнали підозрілих відтоків коштів, загальна сума яких досягла 11,5 мільйона USD.

На цей момент пройшло майже 3 тижні з моменту фактичної атаки, і біржа лише призупинила обслуговування, посилаючись на “технічне обслуговування системи”, не сказавши жодного слова про атаку Хакера.

Хронологія подій, від таємної атаки до публічного розкриття

Атака сталася між 8 та 9 травня 2025 року. У той час Хакер скористався періодом вікна для оновлення системи гаманців та міграції активів на біржі, щоб здійснити напад на її старий гарячий гаманець.

На кілька публічних ланцюгів вплинули: Tron, Ethereum, Solana і Polygon Гарячі гаманцеві активи на біржі поступово переводилися. Після того, як Хакер досяг успіху, вони швидко діяли, ліквідуючи кошти за ринковою ціною через децентралізовані біржі (DEX) та переводячи їх у міксер Tornado Cash, або через Thorchain Депозит на Біткойн мережа через крос-чейн у гаманець Wasabi, намагаючись перервати шлях відстеження коштів.

Незважаючи на те, що користувачі скаржилися на проблеми з виведенням, офіційна заява BitoPro, що підтверджує атаку, з’явилася 2 червня, після того як ZachXBT публічно це розкрив, стверджуючи, що “активи користувачів не постраждали, і платформа має достатні резерви.”

Спосіб обробки, який був прихований протягом трьох тижнів, викликав сильні сумніви в спільноті щодо його прозорості та здатності до управління кризами.

Аналіз технік атак: класичне вторгнення соціальної інженерії

19 червня BitoPro опублікував звіт від третьої сторони з безпеки, який підтверджує, що атакуючою стороною була відома північнокорейська хакерська організація Lazarus Group.

Шлях атаки чітко демонструє його високо спеціалізований спосіб дій:

• Соціальна інженерія фішинговий напад: Хакери маскують комунікацію, щоб націлитися на співробітників BitoPro, спокушаючи їх натиснути на шкідливі посилання або файли.
• Внедрення шкідливого програмного забезпечення: Успішно імплантоване шкідливе програмне забезпечення уникло антивірусних систем обміну, захисту кінцевих точок та виявлення хмарної безпеки.
• Спостереження за інфільтрацією: Хакери ховаються на комп’ютерах співробітників жертви протягом тривалого часу, спостерігаючи за операційними процесами, особливо націлюючись на персонал хмарах, який контролює управління ресурсами Amazon AWS.
• Викрадення токенів та обходження MFA: крадіжка сесійних токенів AWS та безпосереднє обходження механізмів багатофакторної аутентифікації (MFA).
• Контролюйте хост гарячого гаманця: підключіться до серверу C2 зловмисника, впровадьте шкідливі команди в хост, відповідальний за транзакції гарячого гаманця, і врешті-решт змоделюйте законні транзакції, щоб здійснити переказ о 1 годині ранку 9 травня.

Цей метод є дуже послідовним з минулими атаками Лазаря на глобальну банківську систему SWIFT та кілька бірж, підкреслюючи зрілість його шаблону атаки.

Прихована рука: Тінь групи Лазаря

Група Лазаря не є вперше злочинцем. Ця організація широко вважається мережею злочинних груп, підтримуваною північнокорейським режимом, який вже давно намагається викрасти Крипто активи для фінансування своїх програм озброєнь.

Його кримінальний запис шокуючий:

• У 2016 році намагалися вкрасти 1 мільярд доларів у центрального банку Бангладеш, використовуючи вразливість у системі SWIFT (врешті-решт успішно переказали 81 мільйон доларів)
• У лютому 2025 року біржа ByBit зазнала нападу, що призвело до рекордного викрадення 1,5 мільярда доларів у Крипто Активах.
• Постійно націлюючись на глобальні атаки на ланцюг постачання обміну Крипто-активів, використання вразливостей та складні шахрайства соціальної інженерії.

Експерти з безпеки вказують на те, що організація вміло поєднує технічні вразливості з людськими слабкостями, а інцидент з BitoPro ще раз це підтверджує.

Відповідь біржі, заходи для виправлення ситуації після втрати овець

Після того, як інцидент було розкрито, BitoPro вжила ряд заходів для реагування на кризу:

• Негайно закрийте систему гарячого гаманця, щоб перервати шлях атаки.
• Замініть усі відповідні ключі шифрування
• Ізолюйте інфіковані системи та проведіть реконструкцію середовища
• Доручіть сторонній компанії з безпеки блокчейну відстежити вкрадені кошти

Щоб відновити довіру, BitoPro проактивно подав нову адресу гарячого гаманця на платформу аналізу даних Arkham 19 травня, оновивши дані ліквідності для публічного контролю.

Засновник компанії, Чжен Гуангтай, підкреслив, що “активи клієнтів не будуть втрачені; будь-які втрати понесе платформа,” і пообіцяв покращити процеси управління гаманцями та рівні моніторингу. Фінансовий наглядовий комісія Тайваню також втрутилася, вимагавши від компанії посилити кібербезпеку та подати пояснення інциденту.

Безпекове розуміння: Найбільш вразливе посилання залишається “Людина”

Інцидент з BitoPro, хоча втрачені суми значно менші, ніж велика крадіжка в ByBit на суму $1,5 мільярда, виявляє вразливості в індустрії, які є універсальними:

• Періоди обслуговування стають вікнами високого ризику: під час оновлень системи або міграцій активів механізми контролю ризиків можуть мати тимчасові сліпі зони.
• Технічні засоби захисту важко витримати зломи соціальної інженерії: навіть найсучасніші брандмауери та механізми двофакторної автентифікації можуть бути повністю скомпрометовані співробітником, який клацнув на шкідливе посилання.
• Криза прозорості загострює колапс довіри: затримка в розкритті інформації та нечітка комунікація часто більше шкодять довірі користувачів, ніж самі події.

“Найслабший “ посилання в будь-якій системі безпеки завжди є людський фактор,” висновок, який неодноразово підтверджувався у звітах про безпеку.

Висновок: Еволюція захисту та безкінечна наступальна і оборонна битва

Атака групи Lazarus є системною загрозою, з якою продовжує стикатися глобальна екосистема Крипто Активів. Від Центрального банку Бангладеш до ByBit та BitoPro, їхні методи атак постійно еволюціонують, але суть залишається незмінною: використання людських слабкостей для подолання технічних бар’єрів.

BitoPro зазнав збитків у розмірі 11,5 мільйона USD і модернізував свою систему, але більша проблема полягає в тому, як біржа може встановити внутрішню культуру контролю, яка є “анти-соціальною інженерією” та досягти швидкої і прозорої реакції у разі вторгнення.

У світі блокчейну довіра є основною валютою, і кожен інцидент злому перевіряє, чи є її справжні резерви достатніми.