Foto: Primakov / Shutterstock.com
Am 21. Februar wurde die Kryptobörse Bybit von einem der größten Hacks in der Geschichte der Branche getroffen. Hacker erbeuteten digitale Vermögenswerte im Wert von mehr als 1,4 Milliarden US-Dollar, darunter Ethereum (ETH) und andere Kryptowährungen.
Der Angriff wird der berüchtigten nordkoreanischen Hackergruppe Lazarus Group zugeschrieben. Das Analyseunternehmen Chainalysis hat den Vorfall untersucht und beschreibt in einem neuen Bericht, wie die Hacker vorgegangen sind.
Wer ist die Lazarus Group?
Die Lazarus Group ist eine der berüchtigtsten Hackergruppen weltweit und wird direkt mit der nordkoreanischen Regierung in Verbindung gebracht. Ihre Cyberangriffe dienen nicht nur finanziellen Zwecken, sondern auch den geopolitischen Strategien des Regimes in Pjöngjang.
International bekannt wurde die Gruppe erstmals durch den spektakulären Hack auf Sony Pictures im Jahr 2014, bei dem sensible Unternehmensdaten, private E-Mails und sogar unveröffentlichte Filme geleakt wurden. Seitdem hat sich Lazarus zu einem gefürchteten Akteur in der Cyberkriminalität entwickelt, mit einem besonderen Fokus auf digitale Raubzüge und finanzielle Sabotage.
In den vergangenen Jahren hat sich die Gruppe auf Angriffe auf Banken, Kryptobörsen und digitale Wallets spezialisiert. Sie nutzen fortschrittliche Phishing-Kampagnen, Malware und Social Engineering, um sich Zugang zu ihren Zielen zu verschaffen. Besonders die Kryptobranche wurde stark von ihren Aktivitäten getroffen: Sie werden für einige der größten Hacks in der Branche verantwortlich gemacht.
2018 gelang es ihnen, 534 Millionen US-Dollar von der japanischen Börse Coincheck zu stehlen, und 2022 führten sie einen Angriff auf das Ronin Network durch, bei dem 625 Millionen US-Dollar verschwanden. Die erbeuteten Milliarden werden vermutlich zur Finanzierung des nordkoreanischen Regimes eingesetzt, insbesondere zur Entwicklung von Waffen und zur Umgehung internationaler Sanktionen.
Wie Hacker 1,4 Milliarden US-Dollar in Krypto von Bybit stahlen
Im Bericht beschreibt Chainalysis, wie die Hacker vorgegangen sind. Der Angriff auf Bybit begann mit einer gezielten Phishing-Kampagne gegen Mitarbeiter, die Zugang zu den Cold Wallets der Börse hatten. Die Hacker konnten sie dazu bringen, einen bösartigen Smart Contract zu unterzeichnen, wodurch sie eine Multi-Signature-Wallet-Implementierung durch eine manipulierte Version ersetzen konnten.
Während einer routinemäßigen Übertragung von Ethereum von einer Cold Wallet zu einer Hot Wallet griffen die Angreifer in den Prozess ein und leiteten 401.000 ETH auf ihre eigenen Adressen um. Anschließend wurden die Gelder über mehrere Zwischen-Wallets verteilt, um die Herkunft zu verschleiern.
Die Hacker tauschten einen Teil der ETH über dezentrale Börsen, Cross-Chain-Bridges und No-KYC-Swap-Dienste in BTC und DAI um. Ein großer Teil der gestohlenen Vermögenswerte bleibt jedoch unberührt – eine bekannte Strategie nordkoreanischer Hacker, um die erhöhte Aufmerksamkeit nach einem Hack zu umgehen und erst später mit geringerem Risiko Geldwäsche zu betreiben.
Bybit hat mittlerweile der Lazarus Group den Krieg erklärt. Mehr dazu später auf Crypto Insiders.
