CertiK: «Криптовалютные потери из-за эксплоитов, мошенничества и взлома Bybit в феврале составили $1,5 млрд»

Потери от мошенничества, эксплоитов и взломов криптовалют в феврале составили почти $1,53 млрд., причем львиная доля потерь приходится на взлом Bybit на $1,4 млрд., заявила компания по безопасности блокчейнов CertiK.

Атака на Bybit 21 февраля северокорейской Lazarus Group стала крупнейшим криптовалютным взломом за всю историю, более чем вдвое превысив взлом Ronin Bridge на $650 млн в марте 2022 года, «который также был осуществлен Lazarus», — сообщила CertiK в сообщении X от 28 февраля.

Потери криптовалюты в феврале почти на 1500% больше, чем $98 млн, зафиксированные CertiK в январе. Однако, исключая потери Bybit, остальные потери криптовалюты в прошлом месяце составили более 126 миллионов долларов, что все еще на 28,5% больше.

Bybit понес самые большие потери в феврале, за ним следует платежная компания стейблкоинов Infini, а затем децентрализованный протокол кредитования денег ZkLend. Источник: CertiK.

Bybit заявил, что злоумышленники взяли под контроль кошелек для хранения. Позже ФБР подтвердило отраслевые сообщения о том, что за атакой стояла Северная Корея, которая начала конвертировать украденную криптовалюту и распределять ее «по тысячам адресов в нескольких блокчейнах».

CertiK добавил, что вторым по значимости инцидентом месяца стал взлом 24 февраля платежной компании стейблкоинов Infini, в результате которого было украдено 49 миллионов долларов.

В отчете от 27 февраля CertiK заявила, что ключевой кошелек, использованный при атаке, ранее использовался для разработки контрактов Infini и сохранил права администратора, используемые для погашения всех токенов Vault.

«Эксплоит выявляет серьезную уязвимость, демонстрируя, как привилегии администратора могут стать единой точкой отказа, — говорится в отчете CertiK. — Одним из фундаментальных аспектов безопасности блокчейна является понимание того, как защитить ваши закрытые ключи».

Команда Infini действительно предложила хакеру шанс удержать 20% украденной добычи, если остальная часть будет возвращена, а также гарантировала, что хакер не столкнется с какими-либо правовыми последствиями.

Был установлен 48-часовой срок, который давно прошел, и, по данным Etherscan, на кошельке, использованном хакером, все еще находится более 17 000 ETH на сумму 43 миллиона долларов.

Источник: Infini.

Публичного объявления о том, планирует ли хакер принять предложение и вернуть какие-либо средства, сделано не было.

Децентрализованный кредитный протокол ZkLend пострадал от третьей по величине атаки в феврале, когда 12 февраля он потерял 10 миллионов долларов из-за хакеров.

В целом, CertiK утверждает, что главной категорией потерь в феврале были взломы кошельков, за которыми следуют уязвимости кода, которые привели к потерям в 20 миллионов долларов, а затем фишинг, в результате которого хакеры украли 1,8 миллиона долларов.

Убытки от криптомошенничества, эксплоитов и взломов снижались в последние дни 2024 года, при этом в декабре была зарегистрирована наименьшая украденная сумма в 28,6 миллиона долларов по сравнению с 63,8 миллионами долларов в ноябре и 115,8 миллионами долларов в октябре.