Kiderültek a Bybit támadás részletei, mi lehet a támadó titka?
A Chainalysis blokkláncelemző cég részletesen bemutatta a Bybit kriptotőzsde által elszenvedett 1,5 milliárd dolláros hackertámadást. Jelentésében fényt derített az elkövető – az észak-koreai Lazarus Group – pénzmosási taktikájára is.
2025. február 21-én a Bybitet hatalmas támadás érte, amely során 1,46 milliárd dollárnyi Ether és más tokeneket veszített el. A Blockaid biztonsági platform az incidenst a történelem legnagyobb tőzsdei hackelésének nevezte. Már másnap megtalálták a felelősöket – az észak-koreai Lazarus Groupot azonosították a támadás elkövetőjeként.
A legfrissebb hírek szerint a kriptotőzsdének sikerült helyreállnia. A cég vezérigazgatója, Ben Zhou elmondása alapján ismét teljes a tartalékuk. „A Bybit már megoldotta az eltűnt ETH miatt kialakult hiányt és 100%-ban fedezik ügyfeleik eszközeit” – hangzott el Zhou-tól. Állításának alátámasztására közzétett az X-fiókján egy független audit jelentést, amely azt mutatja, hogy a tőzsde ismét teljes mértékben fedezett.
A Chainalysis a február 24-i jelentésben elmagyarázza, hogyan zajlott a támadás. A dokumentum feltárta a hackelés során alkalmazott technikákat és eljárásokat, hivatkozva az Észak-Koreához kötődő hackerek által használt „közös játékkönyvre”. A cég megjegyezte, hogy a csoport a social engineering taktikákra és összetett pénzmosási technikákra támaszkodott az ellopott eszközök mozgatásához.
A social engineering egy olyan manipulációs technika, amelyben a támadó célja, hogy pszichológiai trükkökkel rávegye az embereket bizalmas információk kiadására, rosszindulatú műveletek elvégzésére vagy egy rendszer védelmének megkerülésére. Ilyenek például az adathalász (phishing) támadások is.
A Bybit kibertámadás részletei
A Chainalysis szerint a támadás egy adathalász-programmal kezdődött, amely a Bybit hidegtárca aláíróit célozta meg. A támadók ezután hozzáférést szereztek a Bybit felhasználói felületéhez, ami lehetővé tette számukra, hogy egy több aláírásos tárca végrehajtási szerződését egy rosszindulatú verzióval helyettesítsék. Ennek segítségével megkezdhették a jogosulatlan pénzátutalások feldolgozását. A támadók ezután mintegy 401 000 ETH-t (1,46 milliárd dollár) irányítottak át a saját címükre. A pénzösszegeket több közvetítő tárca között osztották szét, ami a Chainalysis szerint gyakori taktika a tranzakció nyomvonalának elfedésére.
„Az ellopott eszközöket ezután közvetítő címek bonyolult hálózatán keresztül mozgatták. Ez a szétszóródás egy gyakori taktika, amelyet a nyomvonal elhomályosítására és a blokkláncelemzők nyomkövetési erőfeszítéseinek akadályozására használnak” – olvasható a jelentésben.
A hackerek az ellopott ETH egy részét más eszközökre, többek között Bitcoinra és Dai-ra konvertálták. Decentralizált tőzsdéket (DEX), láncon átnyúló hidakat és egy azonnali váltót használtak az ügyfelek ismeretét (KYC) biztosító protokollok nélkül, hogy különböző hálózatokon keresztül mozgassák az eszközöket.
A Chainalysis kiemelte, hogy a blokkláncban rejlő átláthatóság lehetővé teszi a kiberbiztonsági cégek számára, hogy nyomon kövessék a tiltott tevékenységeket. A vállalat hangsúlyozta, hogy együttműködik az állami és a magánszektorral, hogy minél több lopott eszközt lefoglaljanak. Jelenleg 40 millió dollár befagyasztásán ügyködik.
A Cointelegraphnak adott nyilatkozatában a Chainalysis elmondta, hogy a hack rávilágít a fenyegetések megelőzéséhez szükséges intézkedések fontosságára. A cég hozzátette, hogy a felhasználói alapok védelmében az átláthatóság elengedhetetlen. „A tőzsdéknek meg kell fogalmazniuk a szabályozó hatóságaik és a felhasználók felé, hogyan biztosítják a felhasználói alapok védelmét”.
A Lazarus hackercsoport
A világ többi részétől elszigetelten, politikai páriaként és szankciókkal sújtva az észak-koreai gazdaság súlyos helyzetben van. Az ország a kiberbűnözést találta meg a gazdaság fellendítésének egyik módjaként. Észak-Koreának pénzre (és tudásra) van szüksége nemzeti ambíciói – például rakéták és nukleáris fegyverek kifejlesztése – előmozdításához. Ennek érdekében az észak-koreai kiberbűnözők bankok és kriptovaluta-tőzsdék ellen intéznek támadásokat.
A Lazarus a Sony Pictures elleni 2014-es támadásával és a bangladesi központi bank elleni 2016-os kiberrablással szerzett hírnevet, amellyel 81 millió dollárt lopott el. Később, 2017 májusában a Lazarus terjesztette a WannaCry zsarolóprogramot, amely titkosította az áldozatok fájljait, és 300 és 600 dollár közötti váltságdíjat követelt bitcoinban az adatok feloldásáért. A támadóknak ezzel a módszerrel alig néhány hónap alatt 150 000 dollár értékű bitcoint sikerült kinyerniük áldozataikból.
A hackercsoport mai napig rendszeresen követ el hol kisebb, hol nagyobb kibertámadásokat a kriptotérben. Csak 2023-ban közel 200 millió dollárt loptak el, ami a 2023-as kriptotámadások mintegy 20%-át teszi ki. A legfrissebb, 1,5 milliárd dolláros Bybit támadással pedig a csoport örökre beírta magát a kriptotörténelembe.