Krypto-Rekordraubzug von Nordkorea gesteuert?

Bits And Splits | shutterstock.com

Die (gemessen am Handelsvolumen) weltweit zweitgrößte Kryptobörse Bybit wurde am 21. Februar 2025 von Cyberkriminellen um Krypto-Vermögenswerte in Höhe von rund 1,5 Milliarden Dollar erleichtert. Der Angriff auf die in Dubai ansässige Börse, die weltweit mehr als 50 Millionen Kunden zählt, stellt damit den bislang größten Krypto-Raubzug aller Zeiten dar.  

Im Rahmen einer unabhängigen Untersuchung des Bybit-Hacks konnte der Blockchain-Spezialist „ZachXBT“ zuerst Verbindungen zur Cybercrime-Gruppe Lazarus herstellen, die dem nordkoreanischen Staatsapparat mindestens nahestehen soll. Demnach werden die von Bybit gestohlenen Krypto-Assets in Teilen über dieselben Blockchain-Wallet-Adressen „abgewickelt“, die zuvor bereits beim Angriff auf die singapurische Kryptobörse Phemex verwendet wurden. Auch dieser Angriff wird Lazarus zugeschrieben.

Lazarus Group just connected the Bybit hack to the Phemex hack directly on-chain commingling funds from the intial theft address for both incidents. Overlap address: 0x33d057af74779925c4b2e720a820387cb89f8f65

— ZachXBT (@zachxbt01.bsky.social) 22. Februar 2025 um 09:24

Inzwischen hat auch das FBI ein Public Service Announcement zum Bybit-Hack veröffentlicht. “Nordkorea ist für den Diebstahl von ungefähr 1,5 Milliarden Dollar in virtuellen Assets von der Kryptobörse Bybit verantwortlich”, heißt es in der Mitteilung der US-Bundesbehörde, die auch eine Liste von Ethereum-Wallet-Adressen enthält, auf die gestohlene Assets verschoben wurden. Das FBI ruft Blockchain-Unternehmen und -Spezialisten dazu auf, Transaktionen zu blockieren, die über diese Adressen initiiert werden.

Smart-Contract-Logik manipuliert

Bybit hatte am 22. Februar 2025 über die Cyberattacke informiert. Man habe nicht-autorisierte Aktivitäten in Zusammenhang mit einer ETH Cold Wallet festgestellt, schrieben die Verantwortlichen auf dem Kurznachrichtendienst X. Dabei habe es sich um eine raffinierte Attacke gehandelt, die den Angreifern letztlich ermöglicht habe, die gesamten, in der Cold Wallet enthaltenen Krypto-Bestände zu stehlen – darunter 400.000 ETH- und stETH-Token:

„Die Angreifer haben das Interface der Cold Wallet mit betrügerischen Transaktionsvorgängen manipuliert“, erklärt Santiago Pontiroli, Lead TRU Researcher beim Sicherheitsanbieter Acronis. Er ergänzt: “Während das Interface für die Benutzer die korrekte Zieladresse anzeigte, wurde die zugrundeliegende Smart-Contract-Logik heimlich manipuliert. Das hat den Angreifer die Kontrolle über die Cold Wallet verschafft.“

Wie Coindesk berichtet, erlebte Bybit nach Bekanntgabe des Hackerangriffs einen „Bank Run“, in dessen Rahmen innerhalb weniger Stunden Vermögenswerte in Höhe von rund vier Milliarden Dollar abgezogen wurden. Inzwischen konnte die Börse die entstandenen Liquiditätslücken nahezu vollständig wieder schließen – auch durch Überbrückungskredite.

Bybit erklärt Lazarus den Krieg

Damit gibt sich die Kryptobörse selbstredend nicht zufrieden. Im Gegenteil: Bybit-CEO Ben Zhou veröffentlichte in Form eines Posts auf X eine “Kriegserklärung” an Lazarus.

Wie der Manager mitteilt, können sich Blockchain-Bounty-Hunter über die Webseite lazarusbounty.com daran beteiligen, die Geldwäschebewegungen der Lazarus-Hacker gemeinschaftlich zu verfolgen, offenzulegen und betroffene Assets einzufrieren – gegen eine entsprechende Belohnung.

“Wir haben ein Team abgestellt, um die Webseite zu aktualisieren und zu pflegen. Wir werden nicht aufhören, bis Lazarus und andere Bedrohungsakteure eliminiert sind”, schreibt Zhou und fügt hinzu, die Bounty-Webseite künftig auch für andere Lazarus-Betroffene öffnen zu wollen. Bislang sind etwas mehr als drei Prozent der im Rahmen des Bybit-Hacks gestohlenen Kryptowerte eingefroren.

Developer-Zugang als Einfallstor?

Darüber hinaus liegen inzwischen erste Erkenntnisse von IT-Forensik-Spezialisten vor, wie Bybit-CEO Zhou in einem X-Post mitteilt:

Demnach kommen sowohl die Experten von Sygna, als auch die von Verichains im Rahmen ihrer ersten Analysen zu dem Schluss, dass die Lazarus-Hacker sich über einen kompromittierten Entwickler-Account auf der (externen) Plattform Safe{Wallet} initial Zugang verschaffen konnten. Diesen konnten sie im Anschluss offenbar dazu nutzen, Schadcode in einen AWS-S3-Bucket zu injizieren.

“Bei dem zielgerichteten Angriff auf Bybit wurde bösartiger JavaScript-Code in die Umgebung eingeschleust, die die Signer von Bybit nutzen. Der Payload war so konzipiert, dass er nur unter bestimmten Bedingungen aktiviert wird. Diese selektive Execution hat sichergestellt, dass reguläre Nutzer von dieser Backdoor nichts mitbekommen haben – während High-Value-Ziele kompromittiert wurden”, schreiben die Experten von Verichains und fügen hinzu, dass weitere Untersuchungen nötig seien, um diese ersten Erkenntnisse zu bestätigen.

Auch das Forensik-Team von Sygnia weist darauf hin, dass seine Untersuchungen noch nicht abgeschlossen seien. Dennoch kommen sie zu ähnlichen, vorläufigen Ergebnissen wie ihre Kollegen von Verichains: “Die Ursache des Angriffs war maliziöser Code, der in die Safe{Wallet}-Infrastruktur gelangt ist. Mit Blick auf die Infrastruktur von Bybit gibt es keine Anzeichen für Kompromittierung.”

Die Verantwortlichen von Safe{Wallet} haben – wie sie in einem ausführlichen X-Beitrag darlegen – nach dem Bybit-Hack selbst umfassende Untersuchungen eingeleitet und inzwischen Maßnahmen ergriffen, um den Angriffsvektor zu eliminieren. “Die forensischen Untersuchungen externer IT-Experten weisen nicht darauf hin, dass Schwachstellen in den Smart Contracts von Safe oder im Quellcode seines Frontends vorliegen”, betont das Unternehmen.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.