Взлом Bybit: атакующие подменили код Safe за два дня до хищения средств

Генеральный директор Bybit Бен Чжоу опубликовал отчет о масштабном взломе биржи. Расследование показало, что хакеры заранее модифицировали код на сайте Safe.Global, внедрив вредоносный JavaScript. Это изменение подтвердилось через Wayback Archive. При этом компьютеры сотрудников Bybit остались в безопасности — атака была направлена исключительно на подписантов холодного кошелька биржи.

По данным отчета, вредоносный код был внедрен 19 февраля 2025 года в 15:29 UTC. Целью атаки стал мультисиг-холодный кошелек Bybit на Ethereum. Манипуляция с JavaScript позволила хакерам изменить адрес назначения средств во время транзакции подписантов.

Кибератака сработала 21 февраля в 14:13 UTC, когда Bybit провел следующую крупную операцию. Вредоносный скрипт изменил параметры перевода, направив средства на подконтрольные злоумышленникам кошельки. Эксперты считают, что компрометация могла произойти из-за утечки ключей доступа к AWS S3 или CloudFront, что позволило атакующим внести изменения в код Safe.Global.

Расследование продолжается, а Bybit усиливает меры безопасности. Однако этот случай наглядно показывает: иногда для многомиллионного взлома достаточно одного подмененного скрипта.