Das FBI hat den Diebstahl von Kryptowährungen im Wert von 1,4 Milliarden Dollar von Bybit in der vergangenen Woche offiziell nordkoreanischen Hackern zugeschrieben und die Operation ‚TraderTraitor‘ in einer öffentlichen Ankündigung am Mittwoch markiert. Diese Akteure handeln schnell, um ihre gestohlenen Kryptowährungen zu liquidieren, erklärte das FBI und räumte ein, dass sie seitdem einen Teil der gestohlenen Vermögenswerte in Bitcoin und andere Kryptowährungen umgewandelt haben.
Die Vermögenswerte sind jetzt über Tausende von Adressen auf mehreren Blockchains verteilt, sagte die Behörde. Von Anfang an hat die Krypto-Community weitgehend die Lazarus-Gruppe verdächtigt, aber die Bestätigung des FBI verbindet den Angriff mit dem Regime von Kim Jong Un, das zunehmend seine Waffenprogramme durch Cyberkriminalität finanziert.
Die Hacker konnten am 21. Februar während einer routinemäßigen Übertragungsoperation die Kontrolle über Bybits Ethereum-Cold-Wallet übernehmen und führten damit den größten bisher öffentlich bekannt gewordenen Krypto-Hack durch. Trotz des Rückschlags versicherte der CEO von Bybit, Ben Zhou, den Nutzern, dass die Börse finanziell stabil bleibt.
– Bybit ist solvent, auch wenn dieser Hackerverlust nicht kompensiert wird, alle Kundenvermögen sind auf 1:1-Basis gesichert, wir können den Verlust decken – erklärte Zhou in einem X-Post am selben Tag.
Weitere Bestätigungen
Die Sicherheitsfirma SlowMist bestätigte am späten Mittwochabend die technischen Einzelheiten des Angriffs und enthüllte einen ausgeklügelten Kompromiss.
– Die sichere Ausrüstung des Entwicklers wurde kompromittiert, was zur Einspeisung von bösartigem Code in das Frontend führte. Der Angriff hat Transaktionsparameter abgefangen und modifiziert – sagten die Forscher von SlowMist auf X.
Bis zum Wochenende nach dem Angriff waren bereits etwa 140 Millionen Dollar durch Konten, die mit nordkoreanischen Agenten verbunden sind, ‚gewaschen‘ worden, so die Daten von Elliptic. Safe{Wallet}, dessen Infrastruktur im Angriff ausgenutzt wurde, gab eine Erklärung ab, in der anerkannt wurde, dass der Verstoß von der berüchtigten Lazarus-Gruppe durchgeführt wurde.
– Die forensische Untersuchung des gezielten Angriffs der Lazarus-Gruppe auf Bybit kam zu dem Schluss, dass dieser Angriff auf Bybit Safe gerichtet war, der durch eine kompromittierte Maschine des Safe{Wallet}-Entwicklers ausgeführt wurde – erklärte das Unternehmen.
Die Wiederherstellungsbemühungen haben bisher nur begrenzten Erfolg gezeigt. Elliptic enthüllte später, dass eine Gruppe von Sicherheitsexperten etwa 43 Millionen Dollar der gestohlenen Vermögenswerte zurückgeholt hatte, zusammen mit zusätzlichen 243.000 Dollar, die von verwandten Konten beschlagnahmt wurden. Bybit hat 10% Belohnungen für Sicherheitsexperten angeboten, die bei der Rückgewinnung der gestohlenen Gelder helfen, nachdem sie ‚Krieg‘ gegen die Lazarus-Gruppe erklärt haben. Das FBI fordert private Sektorunternehmen, einschließlich Börsen und Blockchain-Analysefirmen, auf, Transaktionen von 48 Ethereum-Adressen zu blockieren, die als von nordkoreanischen Akteuren verwaltet oder damit verbunden identifiziert wurden.
