Spektakularny atak i szybkie pranie pieniędzy
Atak na Bybit, który miał miejsce 21 lutego, był dziełem sponsorowanej przez Koreę Północną grupy hakerskiej Lazarus (znanej także jako TraderTraitor i APT38). Cyberprzestępcy wykorzystali lukę w systemie zabezpieczeń giełdy, przechwytując planowany transfer środków między jej zimnym a gorącym portfelem. Dzięki temu kryptowaluta trafiła bezpośrednio na adres kontrolowany przez hakerów.
FBI oficjalnie potwierdziło odpowiedzialność Korei Północnej w środowym komunikacie, podkreślając skalę operacji. "Federalne Biuro Śledcze (FBI) publikuje niniejszą informację publiczną, aby poinformować, że Koreańska Republika Ludowo-Demokratyczna (Korea Północna) jest odpowiedzialna za kradzież wirtualnych aktywów o wartości około 1,5 miliarda dolarów amerykańskich z giełdy kryptowalut Bybit w dniu lub około 21 lutego 2025 r." – czytamy w oświadczeniu.
Jak wynika z analiz blockchain, skradzione aktywa były natychmiast przekształcane w Bitcoiny i inne kryptowaluty oraz rozpraszane na tysiącach adresów na różnych blockchainach. FBI ostrzega, że przestępcy już rozpoczęli proces prania pieniędzy, co może prowadzić do ich konwersji na walutę fiducjarną.
Ślady prowadzą do Lazarusa
Ekspert ds. cyberprzestępczości ZachXBT od razu po ataku wykrył powiązania z północnokoreańską grupą Lazarus. Część skradzionych funduszy Bybit została przesłana na adres Ethereum, który był wcześniej używany w atakach na giełdy Phemex, BingX i Poloniex. Weryfikację tego tropu przeprowadziły również firmy analizy blockchain – Elliptic i TRM Labs – które dostarczyły dowody na znaczące nakładanie się adresów używanych przez Lazarusa w poprzednich atakach i obecnej operacji na Bybit.
FBI nie pozostaje bierne. Władze amerykańskie ujawniły 51 adresów Ethereum, które były lub nadal są wykorzystywane do przechowywania skradzionych środków. Jednocześnie zaapelowano do giełd kryptowalutowych, operatorów węzłów RPC, platform DeFi i innych podmiotów branży blockchain o blokowanie transakcji pochodzących z tych adresów, co mogłoby utrudnić hakerom dalsze pranie pieniędzy.
Jednym z kluczowych elementów ataku było przejęcie infrastruktury obsługiwanej przez portfel multisig Safe{Wallet}. Według raportów przygotowanych przez firmy Sygnia i Verichains, hakerzy uzyskali dostęp do systemu Bybit po tym, jak zainfekowali komputer jednego z programistów Safe{Wallet}. Safe Ecosystem Foundation potwierdziła, że atak odbył się poprzez umieszczenie złośliwej transakcji w systemie zarządzania środkami giełdy.
Skala ataku na Bybit rzuca światło na niepokojący trend – północnokoreańscy hakerzy od lat wykorzystują kryptowaluty jako źródło finansowania. Według Chainalysis, tylko w 2024 roku ukradli 1,34 miliarda dolarów w trakcie 47 różnych ataków na giełdy kryptowalutowe i projekty DeFi. Natomiast Elliptic szacuje, że od 2017 roku Korea Północna zdobyła w ten sposób ponad 6 miliardów dolarów, które, jak się podejrzewa, wspierają tamtejszy program rakiet balistycznych.
W świetle tych ustaleń apel FBI jest jasny – cała branża kryptowalut musi działać wspólnie, by uniemożliwić pranie skradzionych funduszy i ograniczyć możliwości północnokoreańskich grup hakerskich. Jak na razie, środki z Bybit nadal krążą po sieci, a hakerzy próbują ukryć je w labiryncie transakcji.