{"id":2110,"date":"2025-02-26T06:56:00","date_gmt":"2025-02-26T06:56:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2110"},"modified":"2025-02-26T06:56:00","modified_gmt":"2025-02-26T06:56:00","slug":"krypto-rekordraubzug-von-nordkorea-gesteuert","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2110","title":{"rendered":"Krypto-Rekordraubzug von Nordkorea gesteuert?"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Beim Angriff auf die Kryptob\u00f6rse Bybit wurden Ethereum-Token im Wert von (derzeit) rund 1,5 Milliarden Dollar gestohlen.\n

Bits And Splits | shutterstock.com<\/p>\n<\/div>\n

Die (gemessen am Handelsvolumen) weltweit zweitgr\u00f6\u00dfte Kryptob\u00f6rse Bybit wurde am 21. Februar 2025 von Cyberkriminellen um Krypto-Verm\u00f6genswerte in H\u00f6he von rund 1,5 Milliarden Dollar erleichtert. Der Angriff auf die in Dubai ans\u00e4ssige B\u00f6rse, die weltweit mehr als 50 Millionen Kunden<\/a> z\u00e4hlt, stellt damit den bislang gr\u00f6\u00dften Krypto-Raubzug aller Zeiten dar. \u00a0<\/p>\n

Im Rahmen einer unabh\u00e4ngigen Untersuchung des Bybit-Hacks konnte der Blockchain-Spezialist \u201eZachXBT\u201c nun Verbindungen zur Cybercrime-Gruppe Lazarus herstellen, die dem nordkoreanischen Staatsapparat<\/a> mindestens nahestehen soll. Demnach werden die von Bybit gestohlenen Krypto-Assets in Teilen \u00fcber dieselben Blockchain-Wallet-Adressen \u201eabgewickelt\u201c, die zuvor bereits beim Angriff auf die singapurische Kryptob\u00f6rse Phemex<\/a> verwendet wurden. Auch dieser Angriff wird Lazarus zugeschrieben.<\/p>\n

Lazarus Group just connected the Bybit hack to the Phemex hack directly on-chain commingling funds from the intial theft address for both incidents. <\/p>\n

Overlap address:
\n0x33d057af74779925c4b2e720a820387cb89f8f65<\/p>\n

\u2014 ZachXBT (@zachxbt01.bsky.social<\/a>) 22. Februar 2025 um 09:24<\/a><\/p>\n

Smart-Contract-Logik manipuliert<\/h2>\n

Bybit hatte am 22. Februar 2025 \u00fcber die Cyberattacke informiert<\/a>. Man habe nicht-autorisierte Aktivit\u00e4ten in Zusammenhang mit einer ETH Cold Wallet festgestellt, schrieben die Verantwortlichen auf dem Kurznachrichtendienst X. Dabei habe es sich um eine raffinierte Attacke gehandelt, die den Angreifern letztlich erm\u00f6glicht habe, die gesamten, in der Cold Wallet enthaltenen Krypto-Best\u00e4nde zu stehlen \u2013 darunter 400.000 ETH- und stETH-Token:<\/p>\n

Bybit detected unauthorized activity involving one of our ETH cold wallets. The incident occurred when our ETH multisig cold wallet executed a transfer to our warm wallet. Unfortunately, this transaction was manipulated through a sophisticated attack that masked the signing\u2026<\/p>\n

\u2014 Bybit (@Bybit_Official) February 21, 2025<\/a> <\/p>\n

\u201eDie Angreifer haben das Interface der Cold Wallet mit betr\u00fcgerischen Transaktionsvorg\u00e4ngen manipuliert\u201c, erkl\u00e4rt Santiago Pontiroli, Lead TRU Researcher beim Sicherheitsanbieter Acronis. Er erg\u00e4nzt: \u201cW\u00e4hrend das Interface f\u00fcr die Benutzer die korrekte Zieladresse anzeigte, wurde die zugrundeliegende Smart-Contract-Logik heimlich manipuliert. Das hat den Angreifer die Kontrolle \u00fcber die Cold Wallet verschafft.\u201c<\/p>\n

Wie Coindesk berichtet<\/a>, erlebte Bybit nach Bekanntgabe des Hackerangriffs einen \u201eBank Run<\/a>\u201c, in dessen Rahmen innerhalb weniger Stunden Verm\u00f6genswerte in H\u00f6he von rund vier Milliarden Dollar abgezogen wurden. Inzwischen konnte die B\u00f6rse die entstandenen Liquidit\u00e4tsl\u00fccken nahezu vollst\u00e4ndig wieder schlie\u00dfen<\/a> \u2013 auch durch \u00dcberbr\u00fcckungskredite. <\/p>\n

Bybit erkl\u00e4rt Lazarus den Krieg<\/h2>\n

Damit gibt sich die Kryptob\u00f6rse selbstredend nicht zufrieden. Im Gegenteil: Bybit-CEO Ben Zhou ver\u00f6ffentlichte in Form eines Posts auf X<\/a> eine \u201cKriegserkl\u00e4rung\u201d an Lazarus. <\/p>\n

Join us on war against Lazarus \u2013 https:\/\/t.co\/6DnaH1WTId<\/a>
Industry first bounty site that shows aggregated full transparency on the sanctioned Lazarus money laundering activities. V1 includes:
\u2013 Becoming a bounty hunter by connecting your wallet and help tracing the fund, when\u2026<\/p>\n

\u2014 Ben Zhou (@benbybit) February 25, 2025<\/a> <\/p>\n

Wie der Manager mitteilt, k\u00f6nnen sich Blockchain-Bounty-Hunter \u00fcber die Webseite lazarusbounty.com<\/a> daran beteiligen, die Geldw\u00e4schebewegungen der Lazarus-Hacker gemeinschaftlich zu verfolgen, offenzulegen und betroffene Assets einzufrieren \u2013 gegen eine entsprechende Belohnung. <\/p>\n

\u201cWir haben ein Team abgestellt um die Webseite zu aktualisieren und zu pflegen. Wir werden nicht aufh\u00f6ren, bis Lazarus und andere Bedrohungsakteure eliminiert sind\u201d, schreibt Zhou und f\u00fcgt hinzu, die Bounty-Webseite k\u00fcnftig auch f\u00fcr andere Lazarus-Betroffene \u00f6ffnen zu wollen. Bislang sind etwas mehr als drei Prozent der im Rahmen des Bybit-Hacks gestohlenen Kryptowerte eingefroren.<\/p>\n

Developer-Zugang als Einfallstor?<\/h2>\n

Dar\u00fcber hinaus liegen inzwischen erste Erkenntnisse von IT-Forensik-Spezialisten vor, wie Bybit-CEO Zhou in einem X-Post mitteilt<\/a>:<\/p>\n

Bybit Hack Forensics Report
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs<\/a> and @Verichains<\/a>
Screenshotted the conclusion and here is the link to the full report: https:\/\/t.co\/3hcqkXLN5U<\/a> pic.twitter.com\/tlZK2B3jIW<\/a><\/p>\n

\u2014 Ben Zhou (@benbybit) February 26, 2025<\/a> <\/p>\n

Demnach kommen sowohl die Experten von Sygna, als auch die von Verichains im Rahmen ihrer ersten Analysen<\/a> zu dem Schluss, dass die Lazarus-Hacker sich \u00fcber einen kompromittierten Entwickler-Account auf der (externen) Plattform Safe{Wallet} initial Zugang verschaffen konnten. Diesen konnten sie im Anschluss offenbar dazu nutzen, Schadcode in einen AWS-S3-Bucket zu injizieren.<\/p>\n

\u201cBei dem zielgerichteten Angriff auf Bybit wurde b\u00f6sartiger JavaScript-Code in die Umgebung eingeschleust, die die Signer von Bybit nutzen. Der Payload war so konzipiert, dass er nur unter bestimmten Bedingungen aktiviert wird. Diese selektive Execution hat sichergestellt, dass regul\u00e4re Nutzer von dieser Backdoor nichts mitbekommen haben \u2013 w\u00e4hrend High-Value-Ziele kompromittiert wurden\u201d, schreiben die Experten von Verichains und f\u00fcgen hinzu, dass weitere Untersuchungen n\u00f6tig seien, um diese ersten Erkenntnisse zu best\u00e4tigen.<\/p>\n

Auch das Forensik-Team von Sygnia weist darauf hin, dass seine Untersuchungen noch nicht abgeschlossen seien. Dennoch kommen sie zu \u00e4hnlichen, vorl\u00e4ufigen Ergebnissen wie ihre Kollegen von Verichains: \u201cDie Ursache des Angriffs war malizi\u00f6ser Code, der in die Safe{Wallet}-Infrastruktur gelangt ist. Mit Blick auf die Infrastruktur von Bybit gibt es keine Anzeichen f\u00fcr Kompromittierung.\u201d<\/p>\n

Die Verantwortlichen von Safe{Wallet} haben \u2013 wie sie in einem ausf\u00fchrlichen X-Beitrag<\/a> darlegen \u2013 nach dem Bybit-Hack selbst umfassende Untersuchungen eingeleitet und inzwischen Ma\u00dfnahmen ergriffen, um den Angriffsvektor zu eliminieren. \u201cDie forensischen Untersuchungen externer IT-Experten weisen nicht darauf hin, dass Schwachstellen in den Smart Contracts von Safe oder im Quellcode seines Frontends vorliegen\u201d, betont das Unternehmen. <\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Beim Angriff auf die Kryptob\u00f6rse Bybit wurden Ethereum-Token im Wert von (derzeit) rund 1,5 Milliarden Dollar gestohlen. Bits And Splits | shutterstock.com Die (gemessen am Handelsvolumen) weltweit zweitgr\u00f6\u00dfte Kryptob\u00f6rse Bybit wurde am 21. Februar 2025 von Cyberkriminellen um Krypto-Verm\u00f6genswerte in H\u00f6he von rund 1,5 Milliarden Dollar erleichtert. Der Angriff auf die in Dubai ans\u00e4ssige B\u00f6rse, […]<\/p>\n","protected":false},"author":0,"featured_media":2081,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2110","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2110"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2110"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2110\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2081"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2110"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2110"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2110"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}