Bits And Splits | shutterstock.com
Die (gemessen am Handelsvolumen) weltweit zweitgrößte Kryptobörse Bybit wurde am 21. Februar 2025 von Cyberkriminellen um Krypto-Vermögenswerte in Höhe von rund 1,5 Milliarden Dollar erleichtert. Der Angriff auf die in Abu Dhabi ansässige Börse, die weltweit mehr als 50 Millionen Kunden zählt, stellt damit den bislang größten Krypto-Raubzug aller Zeiten dar.
Im Rahmen einer unabhängigen Untersuchung des Bybit-Hacks konnte der Blockchain-Spezialist „ZachXBT“ nun Verbindungen zur Cybercrime-Gruppe Lazarus herstellen, die mit dem nordkoreanischen Staatsapparat in Verbindung stehen soll. Demnach werden die von Bybit gestohlenen Krypto-Assets in Teilen über dieselben Blockchain-Wallet-Adressen „abgewickelt“, die zuvor bereits beim Angriff auf die singapurische Kryptobörse Phemex verwendet wurden. Auch dieser Angriff wird Lazarus zugeschrieben.
Lazarus Group just connected the Bybit hack to the Phemex hack directly on-chain commingling funds from the intial theft address for both incidents. Overlap address: 0x33d057af74779925c4b2e720a820387cb89f8f65
— ZachXBT (@zachxbt01.bsky.social) 22. Februar 2025 um 09:24
Smart-Contract-Logik manipuliert
Bybit hatte am 22. Februar 2025 über die Cyberattacke informiert. Man habe nicht-autorisierte Aktivitäten in Zusammenhang mit einer ETH Cold Wallet festgestellt, schrieben die Verantwortlichen auf dem Kurznachrichtendienst X. Dabei habe es sich um eine raffinierte Attacke gehandelt, die den Angreifern letztlich ermöglicht habe, die gesamten, in der Cold Wallet enthaltenen Krypto-Bestände zu stehlen – darunter 400.000 ETH- und stETH-Token:
Bybit detected unauthorized activity involving one of our ETH cold wallets. The incident occurred when our ETH multisig cold wallet executed a transfer to our warm wallet. Unfortunately, this transaction was manipulated through a sophisticated attack that masked the signing…
— Bybit (@Bybit_Official) February 21, 2025
„Die Angreifer haben das Interface der Cold Wallet mit betrügerischen Transaktionsvorgängen manipuliert“, erklärt Santiago Pontiroli, Lead TRU Researcher beim Sicherheitsanbieter Acronis. Er ergänzt: “Während das Interface für die Benutzer die korrekte Zieladresse anzeigte, wurde die zugrundeliegende Smart-Contract-Logik heimlich manipuliert. Das hat den Angreifer die Kontrolle über die Cold Wallet verschafft.“
Wie Coindesk berichtet, erlebte Bybit nach Bekanntgabe des Hackerangriffs einen „Bank Run“, in dessen Rahmen innerhalb weniger Stunden Vermögenswerte in Höhe von rund vier Milliarden Dollar abgezogen wurden. Inzwischen konnte die Börse die entstandenen Liquiditätslücken wieder schließen – auch durch Überbrückungskredite. Der Rekord-Hack unterstreicht einmal mehr, wie groß die Security-Herausforderungen sind – nicht nur, aber auch im Bereich Blockchain.
BYBIT HACKER LAUNDERING FUNDS
— Arkham (@arkham) February 24, 2025
The Bybit Hacker is making 2-3 transactions per minute, and stops every 45 minutes for a 15 minute break. They move ETH from one address at a time, before moving onto the next one.
Did Lazarus get an intern to wash their funds manually? pic.twitter.com/XCS16hMC3i
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.