Тред: Orbit Chain — $82M в новогоднюю ночь. Северная Корея. Тайминг был намеренным.
21:00 UTC, 31 декабря 2023 года — новогодний вечер. Orbit Chain взломан на $82M. Тайминг был намеренным: команды безопасности на минимальном дежурстве, всё внимание рассеяно, а первые часы реакции критически важны для отмывания. Когда наступил 2024 год, средства уже двигались.
---
Orbit Chain — южнокорейский кросс-чейн мост, соединяющий несколько блокчейнов. На момент взлома в нём было заблокировано около $230M.
Вектор атаки: компрометация подписантов MPC (многостороннего вычисления). По аналогии с Harmony Horizon и Multichain, мост Orbit полагался на набор авторизованных подписантов для валидации кросс-чейн транзакций. Атакующие скомпрометировали достаточно подписантов для авторизации мошеннических выводов.
→ Переведено $30M в USDT
→ Переведено $10M в USDC
→ Переведено $21.7M в Ether
→ Переведено $9.8M в WBTC
→ Дополнительные DAI и ETH в последующих транзакциях
→ Итого: около $82M в 5 транзакциях
---
Анализ тайминга:
→ Атака началась в 20:52 UTC — за 8 минут до полуночи по UTC
→ Пять последовательных транзакций примерно за 30 минут
→ К полуночи $82M уже в кошельках атакующего
→ Команда Orbit обнаружила взлом, но не смогла остановить транзакции в процессе
→ Первое публичное объявление появилось через несколько часов
Новогодний тайминг снизил скорость реакции примерно в 2-3 раза по сравнению с аналогичными инцидентами.
---
Движение средств после взлома:
→ Активы консолидированы в ETH
→ ETH прогнан через миксеры — преемники Tornado Cash
→ Средства несколько недель лежали без движения — типичный период «охлаждения» Lazarus
→ В январе 2024 года начались движения, совместимые с операциями Lazarus по отмыванию
→ Южнокорейские правоохранители официально атрибутировали атаку Lazarus Group в марте 2024
Orbit Chain работал с южнокорейскими властями, Chainalysis и международными правоохранителями. Объявлено баунти в $8M за информацию. Никто публично не отозвался.
---
Взлом Orbit Chain закрыл 2023-й и открыл 2024-й с напоминанием: кросс-чейн мосты остаются наиболее эксплуатируемой категорией в безопасности крипто.
В 2022-2023 годах с мостов было украдено более $3B. Последовательный метод: компрометировать людей, контролирующих криптографические ключи — не саму криптографию. Социальная инженерия, фишинг и инсайдерский доступ побеждают даже хорошо спроектированные мультисиг-схемы, когда сами держатели ключей являются поверхностью атаки.
→ $82M украдено в новогоднюю ночь 2023 года
→ Северная Корея (Lazarus) атрибутирована южнокорейскими властями
→ Средства не возвращены
→ Orbit Chain продолжает работу с урезанным TVL
→ Безопасность мостов остаётся главной нерешённой проблемой в DeFi
#OrbitChain #взлом #КНДР #мост #Lazarus
Crypto Scandals & History
npub15p…f7gsy
2026-03-29 01:00:22 UTC
Author Public Key
npub15p2zxf47nwy6mxhvd5mjjzz4a4gzv8stkg6gfsug0a3p59l2pw9saf7gsySeen on
wss://relay.damus.ioPublished at
2026-03-29 01:00:22 UTCEvent JSON
{
"id": "ba379d2dd7e75cbd666c386b8d401038827ca4d9ec377cd9a6186fb3016b4c0a",
"pubkey": "a0542326be9b89ad9aec6d37290855ed50261e0bb23484c3887f621a17ea0b8b",
"created_at": 1774746022,
"kind": 1,
"tags": [
[
"t",
"orbitchain"
],
[
"t",
"взлом"
],
[
"t",
"кндр"
],
[
"t",
"мост"
],
[
"t",
"lazarus"
]
],
"content": "Тред: Orbit Chain — $82M в новогоднюю ночь. Северная Корея. Тайминг был намеренным.\n\n21:00 UTC, 31 декабря 2023 года — новогодний вечер. Orbit Chain взломан на $82M. Тайминг был намеренным: команды безопасности на минимальном дежурстве, всё внимание рассеяно, а первые часы реакции критически важны для отмывания. Когда наступил 2024 год, средства уже двигались.\n\n---\n\nOrbit Chain — южнокорейский кросс-чейн мост, соединяющий несколько блокчейнов. На момент взлома в нём было заблокировано около $230M.\n\nВектор атаки: компрометация подписантов MPC (многостороннего вычисления). По аналогии с Harmony Horizon и Multichain, мост Orbit полагался на набор авторизованных подписантов для валидации кросс-чейн транзакций. Атакующие скомпрометировали достаточно подписантов для авторизации мошеннических выводов.\n\n→ Переведено $30M в USDT\n→ Переведено $10M в USDC\n→ Переведено $21.7M в Ether\n→ Переведено $9.8M в WBTC\n→ Дополнительные DAI и ETH в последующих транзакциях\n→ Итого: около $82M в 5 транзакциях\n\n---\n\nАнализ тайминга:\n→ Атака началась в 20:52 UTC — за 8 минут до полуночи по UTC\n→ Пять последовательных транзакций примерно за 30 минут\n→ К полуночи $82M уже в кошельках атакующего\n→ Команда Orbit обнаружила взлом, но не смогла остановить транзакции в процессе\n→ Первое публичное объявление появилось через несколько часов\n\nНовогодний тайминг снизил скорость реакции примерно в 2-3 раза по сравнению с аналогичными инцидентами.\n\n---\n\nДвижение средств после взлома:\n→ Активы консолидированы в ETH\n→ ETH прогнан через миксеры — преемники Tornado Cash\n→ Средства несколько недель лежали без движения — типичный период «охлаждения» Lazarus\n→ В январе 2024 года начались движения, совместимые с операциями Lazarus по отмыванию\n→ Южнокорейские правоохранители официально атрибутировали атаку Lazarus Group в марте 2024\n\nOrbit Chain работал с южнокорейскими властями, Chainalysis и международными правоохранителями. Объявлено баунти в $8M за информацию. Никто публично не отозвался.\n\n---\n\nВзлом Orbit Chain закрыл 2023-й и открыл 2024-й с напоминанием: кросс-чейн мосты остаются наиболее эксплуатируемой категорией в безопасности крипто.\n\nВ 2022-2023 годах с мостов было украдено более $3B. Последовательный метод: компрометировать людей, контролирующих криптографические ключи — не саму криптографию. Социальная инженерия, фишинг и инсайдерский доступ побеждают даже хорошо спроектированные мультисиг-схемы, когда сами держатели ключей являются поверхностью атаки.\n\n→ $82M украдено в новогоднюю ночь 2023 года\n→ Северная Корея (Lazarus) атрибутирована южнокорейскими властями\n→ Средства не возвращены\n→ Orbit Chain продолжает работу с урезанным TVL\n→ Безопасность мостов остаётся главной нерешённой проблемой в DeFi\n\n#OrbitChain #взлом #КНДР #мост #Lazarus",
"sig": "6fd7e2e45a436a8e57eb8ac4c2a79d4e4d4f115d05cf7655bcfff00693af85af5170bb8ad78bc902c5b79df6ed6dbead798ee6433992c759dbe33272b6041117"
}