Введение
Недавний взлом Bybit, крупнейшая кража криптовалюты в истории, выявил болезненную правду: основная угроза безопасности Web3 — это не только изощренные хакеры, но и продолжающаяся зависимость отрасли от инфраструктуры Web2. Поскольку случаи нарушения безопасности становятся все более частыми, очевидно, что Web3 сталкивается с серьезной проблемой. От узлов, работающих на AWS, до децентрализованных приложений (dApps), использующих Google Cloud для своего интерфейса, Web3 остается привязанным к технологическому стеку Web2, несмотря на своё устремление к децентрализованному будущему.
Атака на Bybit
Анализируя взлом Bybit, согласно судебно-экспертным отчетам от Sygnia и Verichains, атака стала возможной благодаря компрометации инфраструктуры AWS Safe{Wallet}, в частности, его S3-бакета и учетной записи/API-ключа CloudFront.
Злоумышленники внедрили вредоносный код в два критически важных JavaScript-файла, которые управляли основными функциями кошелька, позволяя им незаметно манипулировать транзакциями. Датированные 19 февраля 2025 года, эти файлы были обнаружены в кэше браузера подписчиков Bybit. Архивы Wayback Machine подтвердили, что вредоносный код был загружен непосредственно с инфраструктуры Safe{Wallet}, а не в результате локального нарушения.
«Внутренняя работа на уровне инфраструктуры, минуя все предполагаемые меры безопасности».
Стратегия атаки
Это не была атака с грубой силой. Это была целенаправленная атака на уязвимое место: слепая вера Web3 в инфраструктуру Web2. Атака развивалась в несколько расчётливых шагов:
- Вредоносный JavaScript-код оставался в бездействии.
- При инициировании законной транзакции вредоносный код изменял ключевые параметры.
- Атакующие использовали функцию DELEGATECALL для замены реализации контракта Safe{Wallet}.
- Они выполнили функции sweepETH и sweepERC20, опустошив холодный кошелек Bybit.
Уязвимость Web2
Взлом Bybit — не единственный случай, когда уязвимость Web2 использовалась для нанесения удара по сервису Web3. Крупные биржи и платформы подверглись атакам, выявившим системные уязвимости. Например, взлом BadgerDAO — еще один яркий случай, когда злоумышленники скомпрометировали API-ключи Cloudflare.
Злоумышленники, стоящие за взломом Bybit, использовали кросс-платформенный инструментарий, разработанный для избежания обнаружения на разных операционных системах, включая Windows и MacOS.
Компромисс безопасности
Взлом Bybit вновь подтвердил неудобную истину: Web3 не является полностью децентрализованным — это Web2 с дополнительными шагами. Эта зависимость опасна.
«Если API-ключ облачного сервиса будет скомпрометирован, целые экосистемы могут рухнуть».
Необходимость изменений
Взлом Bybit — это последний сигнал тревоги. Безопасность криптовалют должна развиваться за пределы устаревших моделей. Отрасли нужны глубокие изменения. Децентрализация инфраструктуры больше не является опцией — она необходима для выживания.
- Переход на архитектуры нулевого доверия.
- Ревизия цепочки поставок и строгие аудиты.
- Закрытие человеческого вектора атаки.
К счастью, индустрия кибербезопасности начинает осознавать вызов, принимая децентрализацию. Взлом Bybit не был случайностью. В определенном смысле это было неизбежно.
Эпоха реактивных мер безопасности подошла к концу. Пока Web3 продолжает полагаться на инфраструктуру Web2, она останется уязвимой к прежним угрозам безопасности.
