Ця крадіжка є найбільшим зломом централізованої біржі за історію існування криптовалют.

Кібератака на ByBit відбулася у лютому цього року. Хакери вивели 401 000 ETH із холодного гаманця біржі через вразливість у постачальника ПЗ. Це спричинило втрату близько $1,46–1,5 млрд на момент злому. Ця атака очолила топ найгучніших хаків у криптоісторії та вивела дискусію щодо безпеки централізованих платформ на новий рівень.

З нашої статті ви дізнаєтесь подробиці хаку криптобіржі ByBit, що за злочинна група за ним стоїть, як працюють хакери на крипторинці, як просувається розслідування, а також чому найбільші CEX у 2025 році все ще залишаються вразливими попри багатомільйонні бюджети на безпеку.

Що сталося

21 лютого 2025 року ByBit, друга криптобіржа за торговими обсягами у світі після Binance, втратила близько $1,5 млрд внаслідок класичної атаки через компрометацію постачальників (“supply-chain attack”). У контексті зламування криптобірж — це атака через третю сторону, якій біржа довірила частину своєї критично важливої інфраструктури: код, доступи, підписи транзакцій або зберігання ключів. Це один з найефективніших і тихих способів атакувати надійно захищені CEX, тому що біржа зазвичай вважає постачальника довіреним і не перевіряє його так само жорстко, як свої внутрішні системи.

Як хакери вкрали криптовалюту з ByBit? У процесі атаки зловмисники скомпрометували JavaScript-код одного із зовнішніх провайдерів мультисиг-підписантів (за даними розслідування — сервісу Safe{Wallet}). Це сталося через шкідливий Docker-контейнер у фальшивій пропозиції про роботу, що дало доступ до репозиторію коду. Потім було впроваджено шкідливий JavaScript в UI-інтерфейс провайдера, який використовували співробітники ByBit для схвалення транзакцій. Тобто співробітники ByBit не були зламані прямо — вони працювали в отруєному інтерфейсі, де підміна відбулася після їх підтвердження легітимної тестової транзакції. І коли співробітник ByBit (21 лютого) схвалював рутинну тестову транзакцію з переведення активів з холодного сховища, шкідливий код підмінив її вміст і запустив масове відправлення ~401 000 ETH на адреси зловмисників. Таким чином, це була одна масова транзакція на $1,5 млрд, яка відбулася миттєво після підміни в інтерфейсі.

Тобто якщо резюмувати, то ключова вразливість полягала в маніпулюванні інтерфейсом багатопідписного (мультисиг) гаманця, який використовувався для управління холодним сховищем ByBit.

Також варто зазначити, що в атаці на ByBit технології фішингу не застосовувалися безпосередньо — співробітник біржі працював у повністю легітимному інтерфейсі зовнішнього провайдера Safe, який вже був скомпрометований на стороні постачальника. Шкідливий JavaScript підмінив транзакцію вже після натискання “Confirm”, зробивши класичні антифішингові заходи марними. Отже, методи соціальної інженерії (швидше за все, фішингова атака, замаскована під співбесіду про роботу) були застосовані для компрометації робочої станції одного з розробників компанії Safe{Wallet}.

Виявлення відбулося практично миттєво: ByBit зафіксувала несанкціоновану активність у холодному гаманці протягом кількох хвилин і одразу підняла тривогу, звернувшись до індустрії за допомогою заморожування коштів. Розслідування найбільшої крадіжки криптовалют 2025 року почалося відразу після виявлення втрат — у перші години біржа активувала свою внутрішню forensic-команду і звернулася до зовнішніх експертів:

• ФБР: Вже 26 лютого агентство випустило офіційну заяву, прямо звинувативши північнокорейська хакерська група Lazarus. Це стало першим публічним підтвердженням ідентифікації джерела кібератаки від влади, заснованим на комбінації розвідданих, аналізу IP-адрес та тактик зловмисників. FBI спиралася також на дані від партнерів (включаючи південнокорейські спецслужби), які показали зв’язок із північнокорейським режимом — Lazarus, ймовірно, фінансує 50% валютних доходів КНДР.
• Блокчейн-аналітика: Chainalysis, TRM Labs та Elliptic провели он-чейн трекінг вкрадених коштів. Тут виявилася важлива роль блокчейну у розслідуванні кібератак — його прозорість та незмінність допомагають збирати докази. Експерти TRM Labs у звіті від 26 лютого наголосили, що це “останній у серії” атак Lazarus, з ідентичними методами відмивання: кошти були розбиті на дрібні транзакції, змішані через міксери та виведені на біржі в Азії. On-chain сліди показали, що близько 30% коштів ($450 млн доларів) були пов’язані з гаманцями, раніше ідентифікованими як Lazarus.
• Технічні розслідування: NCC Group у березні 2025 року опублікувала глибокий аналіз, підтвердивши ін’єкцію шкідливого JavaScript в UI Safe{Wallet}, що дозволило замінити транзакцію. Sygnia в результаті аналізу систем криптобіржі виявила вразливості в мультидоменній архітектурі: хакери експлуатували слабкості у постачальнику, включаючи незахищений CDN та відсутність end-to-end верифікації. Метод підміни транзакцій через JS-ін’єкцію повторював атаки на 3Commas (2022) та DMM Bitcoin (2024), де Lazarus використовував схожі інструменти.

До листопада 2025 року розслідування триває: повернуто всього менше ніж 5% коштів і ~$200 млн заморожено на біржах. ByBit співпрацює з владою, а Lazarus, за оцінками, втратив частину видобутку через покращений моніторинг. Однак повне повернення вкрадених коштів поки що залишається віддаленою перспективою.

Масштаб та наслідки

Це єдиний злом історії CEX на таку значну суму. Наступна за вартістю викрадених коштів атака на централізовану біржу — розкрадання з Binance у 2022 році на суму $570 млн (майже втричі менше). Тоді внаслідок злому мосту BNB Chain було викрадено 2 млн BNB.

Ще приклади найбільших зламів криптобірж:

• Coincheck. У січні 2018 року було вкрадено $534 млн через фішинг.
• BitMart. У грудні 2021 року в результаті дренажу кількох гаманців було виведено на міксер Tornado Cash ~$196–230 млн.
• KuCoin. У вересні 2020 року було викрадено ETH, BTC та інших токенів на суму ~$285 млн.

Реакція ринку

Вплив злому ByBit на ринок криптовалют виявився у помітній, але короткочасній волатильності: курси BTC та альткоїнів знизилися. Ціна біткоїна відреагувала падінням приблизно на 3,07% того дня, опустившись до рівня близько $95 000-$97 000. ETH, який був основною метою атаки, впав суттєвіше — майже на 4%, до позначки $2700. Інші альткоїни також зазнали тиску продажів на тлі зростання ринкової невизначеності та побоювань щодо безпеки централізованих бірж загалом. Так чи інакше ринок досить швидко стабілізувався після підтвердження ByBit гарантії покриття фінансових втрат клієнтів із власних коштів.

Інші великі криптовалютні біржі, такі як Binance, OKX та Coinbase, відреагували на інцидент з ByBit, зосередившись на співпраці у розслідуванні з правоохоронними органами та аналітичними фірмами для відстеження вкрадених активів, а також на посиленні своєї безпеки.

Реакція трейдерів та аналітиків була дуже бурхливою. Учасники ринку били на сполох, адже тепер будь-який великий централізований майданчик може розглядатися як потенційна зона ризику. Деякі аналітики передбачили, що після такого інциденту ринку доведеться переглянути підхід до управління активами на CEX. Ця крадіжка також порушила питання про те, наскільки біржі здатні захищати не лише активи, а й приватність своїх внутрішніх операцій, коли частина інфраструктури передається зовнішнім контрагентам.

Технічний бік злому

Ця атака стала яскравим прикладом нової тенденції 2024-2025 років: замість прямого проникнення до системи бірж зловмисники дедалі частіше б’ють по довіреним третім сторонам. Хакери із задоволенням використовують слабкі сторони взаємодії CEX із постачальниками:

• CEX все частіше виносять критичні компоненти (підписанти, MPC-гаманці, oracles) на зовнішніх провайдерів для зручності та регуляторних вимог.
• Провайдери (Fireblocks, Safe, Copper, Zodia, Cobo та ін.) обслуговують десятки великих бірж одночасно — злом одного дає доступ до багатьох.
• Аудит та моніторинг зовнішніх сервісів зазвичай слабші, ніж внутрішні.

На щастя, прозорість блокчейну дозволила аналітикам швидко зафіксувати маршрут виведення коштів. Через інструменти on-chain моніторингу вдалося відстежити кілька великих потоків, відправлених через Tornado Cash, Orbiter та менш відомі L2-мости. Експерти зазначають, що, на відміну від атак 2018–2020 років, сучасні механізми аналізу ланцюжків дозволяють швидше ідентифікувати аномальні маршрути, але повністю зупинити “розшарування” під час виведення через десятки проміжних адрес все ще вкрай складно. Тому питання про те, куди зникли вкрадені кошти з ByBit, поки що залишається частково відкритим як для користувачів, так і для аналітичних компаній, що відстежують рух активів через десятки мереж.

Заходи ByBit у відповідь

ByBit оперативно створила внутрішній кризовий комітет та залучила зовнішні команди цифрової форензики, які раніше брали участь у розслідуваннях Mt.Gox, Euler Finance та CoinEx. Паралельно біржа направила запити до більш ніж 20 централізованих платформ із проханням відстежувати адреси, пов’язані з виведенням активів.

ByBit повелася відповідно до всіх норм захисту користувачів і вже в перших коментарях після злому підтвердила наявність резервів (понад $20 млрд в активах). Компанія повідомила користувачам, що їхні активи поза небезпекою і всі охочі можуть отримати свою криптовалюту в повному обсязі. У результаті біржа опрацювала понад 350 000 запитів на виведення коштів за 24 години. Тоді користувачі вивели активи на майже $5 млрд, що стало рекордним добовим показником в історії галузі.

Після кібератаки ByBit провела серію внутрішніх та незалежних зовнішніх аудитів, які призвели до впровадження понад 50 нових заходів безпеки. Серед них — посилення захисту холодних сховищ, оновлення інформаційної безпеки та процедур взаємодії зі сторонніми сервісами. Таким чином, ByBit прагне продемонструвати ринку, що заходи захисту після інциденту вжиті й можуть використовуватися як базовий набір оновлень для всіх великих централізованих сервісів.

Безпека криптобірж у 2025 році

Попри загальний прогрес, безпека криптовалютних бірж у 2025 році залишається вразливою через системні фактори.

• Головна проблема — висока централізація внутрішніх процесів. Навіть найбільші біржі продовжують використовувати єдину інфраструктуру доступу для внутрішніх API, систем моніторингу та сервісних облікових записів. Це створює єдину “слабку ланку”, яку можна атакувати через фішинг або експлуатацію конфігурацій.
• Друга причина – зростання складності інфраструктури: біржі підтримують десятки L1 та L2, інтегрують мости, крос-чейн маршрути, кастодіальні послуги. Кожна нова інтеграція – додаткова поверхня атаки. Саме цей фактор фігурує у звітах Chainalysis про кібератаки на крипторинок 2025 року.

У 2025 році спостерігається тенденція щодо переходу бірж від пасивного захисту до активних моделей безпеки. До ключових рішень належать:

• MPC-сховища (multi-party computation). Дозволяють розподіляти ключі між кількома вузлами, виключаючи єдиний секрет, що компрометується.
• Поведінкова аналітика з урахуванням машинного навчання. Вже використовують великі біржі, щоб виявляти відхилення у висновках ще до підтвердження транзакцій.
• Ізольовані модулі (HSM). Сучасні версії дають змогу виконувати операції підпису без прямого доступу до ключа.
• Zero-Trust моделі для внутрішніх команд. Біржі скорочують кількість працівників, які мають прямий доступ до систем виведення коштів.

FAQ — питання, що часто ставляться

1. Як хакери змогли вкрасти $1,5 млрд?

Хакери вкрали $1,5 млрд у ByBit, скомпрометувавши постачальника мультисиг-підписів. Вони зламали сторонній сервіс (Safe{Wallet}) через шкідливий Docker-контейнер та впровадили “отруєний” JavaScript-код в інтерфейс, який використовували співробітники ByBit. В результаті одна рутинна внутрішня операція перетворилася на масове відправлення 401 000 ETH на гаманці зловмисників.

1. Хто розслідує атаку на ByBit?

Проблема потребує роботи на рівні міжбіржової та міждержавної взаємодії. Розслідування найбільшого злому біржі ведуть незалежні форензик-команди, аналітичні компанії та підрозділи правоохоронних органів.

1. Чи повертають користувачам втрачені кошти?

Чи втратили користувачі свої кошти? Ні. Біржа опрацювала всі заявки на виведення коштів клієнтів у повному обсязі. Питання повернення викрадених коштів не стосується компенсації клієнтам, а повернення вкрадених активів біржі.

1. Що потрібно робити, щоб захистити свої активи?

Для тих, хто не знає, що робити, якщо зламали криптобіржу, відповідь проста — дотримуватися превентивних заходів щодо захисту коштів. Як захистити кошти на криптобіржі в умовах високої активності угруповань хакерів? Уроки безпеки після крадіжки з ByBit зводяться до простих базових правил:

• Зберігайте основну частину активів у власних холодних гаманцях.
• Використовуйте двофакторну автентифікацію та унікальні паролі, згенеровані менеджерами паролів.
• Обмежте обсяг коштів на централізованих біржах та встановіть ліміти на виведення.

Висновок

Злам криптобіржі ByBit на 1,5 мільярда доларів став тривожним сигналом для всього крипторинка. Масштаб втрат та рівень підготовки зловмисників показали, що навіть найбільші централізовані платформи залишаються вразливими. Цей кейс посилив увагу до питань інфраструктури CEX, ролі внутрішнього контролю та необхідності миттєвих реакцій на аномальні транзакції.

Дякую за увагу. Інвестуйте безпечно та вигідно!

AnyExchange — обмінник, через який ви можете конвертувати криптовалюту за найвигіднішим курсом, а також здійснювати безпечні грошові перекази по всьому світу.