Эта кража является крупнейшим взломом централизованной биржи за всю историю существования криптовалют. 

Кибератака на ByBit произошла в феврале этого года. Хакеры вывели 401 000 ETH из холодного кошелька биржи через уязвимость в поставщике ПО. Это привело к потере около $1,46–1,5 млрд на момент взлома. Эта атака возглавила топ самых громких хаков в криптоистории и вывела дискуссию о безопасности централизованных платформ на новый уровень.  

Из нашей статьи вы узнаете подробности хака криптобиржи ByBit, что за преступная группа за ним стоит, как работают хакеры на крипторынке, как продвигается расследование, а также почему крупнейшие CEX в 2025 году все еще остаются уязвимыми, несмотря на многомиллионные бюджеты на безопасность.

Что произошло

21 февраля 2025 года ByBit, вторая криптобиржа по торговым объемам в мире после Binance, потеряла около $1,5 млрд в результате классической атаки через компрометацию поставщиков (“supply-chain attack”). В контексте взломов криптобирж — это атака через третью сторону, которой биржа доверила часть своей критически важной инфраструктуры: код, доступы, подписи транзакций или хранение ключей. Это один из самых эффективных и “тихих” способов атаковать надежно защищенные CEX, потому что биржа обычно считает поставщика доверенным и не проверяет его так же жестко, как свои внутренние системы.

Как хакеры украли криптовалюту с ByBit? В процессе атаки злоумышленники скомпрометировали JavaScript-код одного из внешних провайдеров мультисиг-подписантов (по данным расследования — сервиса Safe{Wallet}). Это произошло через вредоносный Docker-контейнер в фальшивом предложении о работе, что дало доступ к репозиторию кода. Затем был внедрен вредоносный JavaScript в UI-интерфейс провайдера, который использовали сотрудники ByBit для одобрения транзакций. То есть сотрудники ByBit не были взломаны напрямую — они работали в "отравленном" интерфейсе, где подмена произошла после их подтверждения легитимной тестовой транзакции. И, когда сотрудник ByBit (21 февраля) одобрял рутинную тестовую транзакцию по переводу активов из холодного хранилища, вредоносный код подменил ее содержимое, и запустил массовую отправку ~401 000 ETH на адреса злоумышленников. Таким образом, это была одна массовая транзакция на ~$1,5 млрд, которая произошла мгновенно после подмены в интерфейсе. 

То есть, если резюмировать, то ключевая уязвимость заключалась в манипулировании интерфейсом многоподписного (мультисиг) кошелька, который использовался для управления холодным хранилищем ByBit.

Также стоит отметить, что в атаке на ByBit технологии фишинга не применялись напрямую — сотрудник биржи работал в полностью легитимном интерфейсе внешнего провайдера Safe{Wallet}, который уже был скомпрометирован на стороне поставщика. Вредоносный JavaScript подменил транзакцию уже после нажатия «Confirm», сделав классические антифишинговые меры бесполезными. Так что методы социальной инженерии (скорее всего, фишинговая атака, замаскированная под собеседование о работе) были применены для компрометации рабочей станции одного из разработчиков компании Safe{Wallet}.

Обнаружение произошло практически мгновенно: ByBit зафиксировала несанкционированную активность в холодном кошельке в течение нескольких минут и сразу подняла тревогу, обратившись к индустрии за помощью в заморозке средств. Расследование крупнейшей кражи криптовалют 2025 началось сразу после обнаружения потерь — в первые часы биржа активировала свою внутреннюю forensic-команду и обратилась к внешним экспертам:

• ФБР: Уже 26 февраля агентство выпустило официальное заявление, прямо обвинив северокорейскую хакерскую группу Lazarus. Это стало первым публичным подтверждением идентификации источника кибератаки от властей, основанным на комбинации разведданных, анализа IP-адресов и тактик злоумышленников. FBI опиралась также на данные от партнеров (включая южнокорейские спецслужбы), показавшие связь с северокорейским режимом — Lazarus предположительно финансирует 50% валютных доходов КНДР.
• Блокчейн-аналитика: Chainalysis, TRM Labs и Elliptic провели он-чейн трекинг украденных средств. Здесь проявилась важная роль блокчейна в расследовании кибератак — его прозрачность и неизменяемость помогают собирать доказательства. Эксперты TRM Labs в отчете от 26 февраля подчеркнули, что это "последний в серии" атак Lazarus, с идентичными методами отмывания: средства были разбиты на мелкие транзакции, смешаны через миксеры и выведены на биржи в Азии. On-chain следы показали, что около 30% средств ($450 млн долларов) были связаны с кошельками, ранее идентифицированными как Lazarus.
• Технические расследования: NCC Group в марте 2025 года опубликовала глубокий анализ, подтвердив инъекцию вредоносного JavaScript в UI Safe{Wallet}, что позволило подменить транзакцию. Sygnia в результате анализа систем криптобиржи выявила уязвимости в мультидоменной архитектуре: хакеры эксплуатировали слабости в поставщике, включая незащищенный CDN и отсутствие end-to-end верификации. Метод подмены транзакций через JS-инъекцию повторял атаки на 3Commas (2022) и DMM Bitcoin (2024), где Lazarus использовал похожие инструменты.

К ноябрю 2025 расследование продолжается: возвращено всего менее 5% средств и ~$200 млн заморожено на биржах. ByBit сотрудничает с властями, а Lazarus, по оценкам, потерял часть добычи из-за улучшенного мониторинга. Однако полное возвращение украденных средств пока остается отдаленной перспективой.

Масштаб и последствия

Это единственный взлом в истории CEX на такую внушительную сумму. Следующая по стоимости похищенных средств атака на централизованную биржу — хищение с Binance в 2022 году на сумму ~$570 млн (почти в три раза меньше). Тогда в результате взлома моста BNB Chain было украдено 2 млн BNB. 

Еще примеры крупнейших взломов криптобирж:

• Coincheck. В январе 2018 года было украдено ~$534 млн через фишинг. 
• BitMart. В декабре 2021 в результате дренажа нескольких кошельков было выведено на миксер Tornado Cash ~$196–230 млн. 
• KuCoin В сентябре 2020 года было похищено ETH, BTC и других токенов на сумму ~$285 млн. 

Реакция рынка

Влияние взлома ByBit на рынок криптовалют выразилось в заметной, но кратковременной волатильности: курсы  BTC и альткоинов снизились. Цена биткоина отреагировала падением примерно на 3,07% в тот день, опустившись до уровня около $95 000-$97 000. ETH, который был основной целью атаки, упал более существенно — почти на 4%, до отметки $2700. Другие альткоины также испытали давление продаж на фоне возросшей рыночной неопределенности и опасений по поводу безопасности централизованных бирж в целом. Так или иначе, рынок достаточно быстро стабилизировался после подтверждения ByBit гарантии покрытия финансовых потерь клиентов из собственных средств.

Другие крупные криптовалютные биржи, такие как Binance, OKX и Coinbase, отреагировали на инцидент с ByBit, сосредоточившись на сотрудничестве в расследовании с правоохранительными органами и аналитическими фирмами для отслеживания украденных активов, а также усилении своей безопасности. 

Реакция трейдеров и аналитиков была очень бурной. Участники рынка били тревогу, ведь теперь любая крупная централизованная площадка может рассматриваться как потенциальная зона риска. Некоторые аналитики предположили, что после такого инцидента рынку придется пересмотреть подход к управлению активами на CEX. Эта кража также подняла вопрос о том, насколько биржи способны защищать не только активы, но и приватность своих внутренних операций, когда часть инфраструктуры передается внешним контрагентам.

Техническая сторона взлома

Эта атака стала ярким примером новой тенденции 2024-2025 годов: вместо прямого проникновения в системы бирж злоумышленники все чаще бьют по доверенным третьим сторонам. Хакеры с удовольствием используют слабые стороны взаимодействия CEX с поставщиками:

• CEX все чаще выносят критические компоненты (подписанты, MPC-кошельки, oracles) на внешних провайдеров ради удобства и регуляторных требований.
• Провайдеры (Fireblocks, Safe, Copper, Zodia, Cobo и др.) обслуживают десятки крупных бирж одновременно — взлом одного дает доступ ко многим.
• Аудит и мониторинг внешних сервисов обычно слабее, чем внутренних.

К счастью, прозрачность блокчейна позволила аналитикам быстро зафиксировать маршрут вывода средств. Через инструменты on-chain мониторинга удалось отследить несколько крупных потоков, отправленных через Tornado Cash, Orbiter и менее известные L2-мосты. Эксперты отмечают, что, в отличие от атак 2018–2020 годов, современные механизмы анализа цепочек позволяют быстрее идентифицировать аномальные маршруты, но полностью остановить “расслоение” при выводе через десятки промежуточных адресов все еще крайне сложно. Так что вопрос о том, куда исчезли украденные средства с ByBit, пока еще остается частично открытым как для пользователей, так и для аналитических компаний, отслеживающих движение активов через десятки сетей.

Ответные меры ByBit

ByBit оперативно создала внутренний кризисный комитет и привлекла внешние команды цифровой форензики, которые ранее участвовали в расследованиях Mt.Gox, Euler Finance и CoinEx. Параллельно биржа направила запросы в более чем 20 централизованных платформ с просьбой отслеживать адреса, связанные с выводом активов.

ByBit повела себя в соответствии со всеми нормами по защите пользователей и уже в первых комментариях после взлома подтвердила наличие резервов (более $20 млрд в активах). Компания сообщила пользователям, что их средства вне опасности, и все желающие могут получить свою криптовалюту в полном объеме. В итоге биржа обработала более 350 000 запросов на вывод средств за 24 часа. Тогда пользователи вывели активы почти на $5 млрд, что стало рекордным суточным показателем в истории отрасли. 

После кибератаки ByBit провела серию внутренних и независимых внешних аудитов, которые привели к внедрению более 50 новых мер безопасности. Среди них — усиление защиты холодных хранилищ, обновление информационной безопасности и процедур взаимодействия со сторонними сервисами. Тем самым ByBit стремится продемонстрировать рынку, что меры защиты после инцидента предприняты и могут использоваться как базовый набор обновлений для всех крупных централизованных сервисов.

Безопасность криптобирж в 2025 году

Несмотря на общий прогресс, безопасность криптовалютных бирж в 2025 году остается уязвимой из-за системных факторов. 

• Главная проблема — высокая централизация внутренних процессов. Даже крупнейшие биржи продолжают использовать единую инфраструктуру доступа для внутренних API, систем мониторинга и сервисных аккаунтов. Это создает единое “слабое звено”, которое можно атаковать через фишинг или эксплуатацию конфигураций.
• Вторая причина — рост сложности инфраструктуры: биржи поддерживают десятки L1 и L2, интегрируют мосты, кросс-чейн маршруты, кастодиальные сервисы. Каждая новая интеграция — дополнительная поверхность атаки. Именно этот фактор фигурирует в отчетах Chainalysis о кибератаках на крипторынок 2025.

В 2025 году наблюдается тенденция по переходу бирж от пассивной защиты к активным моделям безопасности. К ключевым решениям относятся:

• MPC-хранилища (multi-party computation). Позволяют распределять ключи между несколькими узлами, исключая единый компрометируемый секрет.
• Поведенческая аналитика на базе машинного обучения. Уже используется крупными биржами, чтобы выявлять отклонения в выводах еще до подтверждения транзакций.
• Изолированные модули (HSM). Современные версии позволяют выполнять операции подписи без прямого доступа к ключу.
• Zero-Trust модели для внутренних команд. Биржи сокращают количество сотрудников, имеющих прямой доступ к системам вывода средств.

FAQ — часто задаваемые вопросы

1. Как хакеры смогли украсть $1,5 млрд?

Хакеры украли $1,5 млрд у ByBit, скомпрометировав поставщика мультисиг-подписей. Они взломали сторонний сервис (Safe{Wallet}) через вредоносный Docker-контейнер и внедрили “отравленный” JavaScript-код в интерфейс, который использовали сотрудники ByBit. В результате одна рутинная внутренняя операция превратилась в массовую отправку 401 000 ETH на кошельки злоумышленников.

1. Кто расследует атаку на ByBit?

Проблема требует работы на уровне межбиржевого и межгосударственного взаимодействия. Расследование крупнейшего взлома биржи ведут независимые форензик-команды, аналитические компании и подразделения правоохранительных органов. 

1. Возвращают ли пользователям потерянные средства?

Потеряли ли пользователи свои средства? Нет. Биржа обработала все заявки на вывод средств клиентов в полном объеме. Вопрос возврата похищенных средств касается не компенсации клиентам, а возвращения украденных активов биржи.

1. Что нужно делать, чтобы защитить свои активы?

Для тех, кто не знает, что делать если взломали криптобиржу, ответ прост — соблюдать превентивные меры по защите средств. Как защитить средства на криптобирже в условиях высокой активности хакерских группировок? Уроки безопасности после кражи с ByBit сводятся к простым базовым правилам:

• Храните основную часть активов в личных холодных кошельках.
• Используйте двухфакторную аутентификацию и уникальные пароли, сгенерированные менеджерами паролей. 
• Ограничьте объем средств на централизованных биржах и установите лимиты на выводы.

Заключение

Взлом криптобиржи ByBit на 1,5 миллиарда долларов стал тревожным сигналом для всего крипторынка. Масштаб потерь и уровень подготовки злоумышленников показали, что даже крупнейшие централизованные платформы остаются уязвимыми. Этот кейс усилил внимание к вопросам инфраструктуры CEX, роли внутреннего контроля и необходимости мгновенных реакций на аномальные транзакции. 

Спасибо за внимание. Инвестируйте безопасно и выгодно!

AnyExchange — обменник, через который вы можете конвертировать криптовалюту по самому выгодному курсу, а также осуществлять безопасные денежные переводы по всему миру.