Peste weekend, companiile de securitate blockchain și experții au legat grupul de hackeri nord-coreeni Lazarus de furtul de peste 1,5 miliarde de dolari de la exchange-ul de criptomonede Bybit.
În ceea ce este acum considerat cel mai mare furt de criptomonede din istorie, atacatorii au interceptat o transferare planificată de fonduri de la unul dintre portofelele reci ale Bybit într-un portofel cald, redirecționând activele cripto către o adresă blockchain sub controlul lor.
„La data de 21 februarie 2025, aproximativ la 12:30 PM UTC, Bybit a detectat activități neautorizate într-unul dintre portofelele sale Ethereum (ETH) Reci în timpul unui proces de transfer rutin. Transferul făcea parte dintr-o mutare programată a ETH din portofelul nostru ETH Multisig Rece la portofelul nostru Cald”, a explicat Bybit într-un post-mortem publicat vineri.
„Din păcate, tranzacția a fost manipulată printr-un atac sofisticat care a modificat logica contractului inteligent și a mascat interfața de semnare, permițând atacatorului să obțină controlul portofelului ETH Rece. Ca rezultat, peste 400.000 ETH și stETH în valoare de peste 1,5 miliarde de dolari au fost transferate către o adresă neidentificată.”
Deși acest lucru a condus la furtul a peste 1,5 miliarde de dolari în valoare de ETH și stETH, Bybit a declarat că serviciile sale au fost în mare parte neafectate în ciuda unui val masiv de 580.000 de cereri de retragere după ce incidentul a fost dezvăluit. A adăugat, de asemenea, că toate celelalte portofele reci și active au rămas securizate.
Exchange-ul de criptomonede și-a restabilit de atunci rezervele de ETH, iar CEO-ul companiei spune că Bybit este solvent chiar dacă activele pierdute nu vor fi recuperate în totalitate.
După atac, investigatorul de fraudă crypto ZachXBT a descoperit legături între hackerii Bybit și grupul de amenințări nord-coreean Lazarus după ce atacatorii au trimis fonduri furate de la Bybit la o adresă Ethereum folosită anterior în hack-urile Phemex, BingX și Poloniex.
„Astăzi, când spalau fonduri pentru hack-ul Bybit, hack-ul Poloniex a fost de asemenea legat on-chain în adresa de consolidare 0x15ec,” a afirmat ZachXBT. „Acest lucru arată acum că aceeași entitate este legată de patru hack-uri diferite (Bybit, Poloniex, Phemex, BingX).”
Investigatorul a mai spus că actorii de amenințare au lansat și tranzacționat monede meme Pump Fun pentru a spăla criptomoneda furată, cu fonduri din hack-ul Bybit ajungând la peste 920 de adrese blockchain. ZachXBT a mai afirmat că hackerii Lazarus spală ETH-ul furat din hack-ul Bybit folosind eXch (un mixer centralizat) și transferând fonduri către Bitcoin prin Chainflip.
„Echipa eXch a trimis accidental 34 ETH ($96.000) către portofelul cald al unui alt exchange după ce a spălat peste 35 de milioane de dolari pentru Grupul Lazarus din hack-ul Bybit de astăzi,” au spus ei.
Concluziile lui ZachXBT au fost confirmate de compania de informații blockchain TRM Labs, care a determinat cu „înaltă încredere” că hackerii nord-coreeni se aflau în spatele hack-ului Bybit „pe baza suprapunerilor semnificative observate între adresele controlate de hackerii Bybit și cele legate de furturile nord-coreene anterioare.”
Compania de analiză blockchain Elliptic a spus că hackerii Lazarus au mutat deja fondurile furate prin număr mare de portofele de criptomonede pentru a ascunde originea reală a activelor și a încetini încercările de urmărire.
„Un exchange în special, eXch pare să fi spălat cu bună știință zeci de milioane de dolari în active furate, în ciuda apelurilor de la Bybit de a opri acest lucru,” a spus co-fondatorul și științificul șef al Elliptic, Tom Robinson, pentru BleepingComputer. „Activele furate sunt în mare parte convertite în Bitcoin – dacă sunt urmate modelele anterioare de spălare, putem să ne așteptăm să vedem utilizarea mixerelelor de Bitcoin în continuare – pentru a încerca să ascundă urma banilor.”
Însă, eXch a negat spălarea fondurilor furate de la Bybit, spunând că „eXch NU spală bani pentru Lazarus/DPRK” și că „partea nesemnificativă a fondurilor de la hack-ul ByBit a ajuns în cele din urmă la adresa noastră […], a fost un caz izolat și singura parte procesată de exchange-ul nostru, taxele din care vor fi donate pentru binele public.”
În decembrie, compania de analiză blockchain Chainalysis a declarat că hackerii nord-coreeni au furat 1,34 miliarde de dolari în 47 de hack-uri de criptomonede în 2024, depășindu-și recordul anterior de 1,1 miliarde de dolari din 2022.
Într-un singur atac în martie 2022, două grupuri de hackeri nord-coreeni (Lazarus și BlueNorOff) au furat 620 de milioane de dolari în criptomonede (173.600 Ethereum și 25,5 milioane de token-uri USDC) de la rețeaua de poduri Ronin a Axie Infinity.
Leave a Reply