Es ist eine unglaubliche Geschichte: Am Freitag, den 21. Februar 2025, wurde die Kryptowährungsbörse Bybit um die Summe von 1,5 Milliarden US-Dollar erleichtert. Diese Summe wurde in Form von Guthaben in der Kryptowährung Etherum von den Bybit-Konten abgezogen. Das FBI nennt die in Nordkorea verortete, staatliche Lazarus-Hackergruppe als verantwortlich. Den Hackern gelang wohl der Zugriff über einen infizierten Entwickler-PC mittels eines JavaScript-Programms.
Anzeige
Der 1,5 Milliarden-Hack
Am Freitag, den 21. Februar 2025, die Kryptowährungsbörse Bybit einen Hack der Plattform öffentlich, bei der der Gegenwert von 1,46 Milliarden US-Dollar in Etherum Kryptowährungsguthaben abgeflossen sind.
Konkret heißt es, dass bei einer Überweisung von einer ETH Multisig Cold Wallet eine an der Bybit Warm Wallet eine Manipulation aufgetreten sei. Diese Transaktion wurde durch einen ausgeklügelten Angriff manipuliert, der die Signierschnittstelle maskierte und die korrekte Adresse anzeigte. Im Hintergrund wurde die zugrunde liegende Smart-Contract-Logik verändert.
Infolgedessen konnte ein Angreifer die Kontrolle über die betroffene ETH-Wallet erlangen und ihre Bestände an eine nicht identifizierte Adresse übertragen. Die Kollegen von Bleeping Computer haben den Sachverhalt zeitnah im Beitrag Hacker steals record $1.46 billion from Bybit ETH cold wallet aufgegriffen.
Anzeige
FBI beschuldigt die Lazarus-Gruppe
Das Federal Bureau of Investigation (FBI) hat zum 26. Februar 2025 dieses Dokument veröffentlicht, und beschuldigt, die Demokratische Volksrepublik Korea (Nordkorea) für den Diebstahl von virtuellen Vermögenswerten in Höhe von etwa 1,5 Milliarden US-Dollar von der Kryptowährungsbörse Bybit am oder um den 21. Februar 2025 verantwortlich zu sein.
In der Mitteilung wurden die Etherum-Adressen veröffentlicht, die bei diesem Hack veröffentlicht wurden. Bleeping Computer hat die Informationen hier noch etwas aufbereitet.
Der CEO von Bybit kündigte den Start der Plattform lazarusbounty.com an, um die Lazarus-Hacker aus Nordkorea zu bekämpfen. Es werden Kopfgelder für das Aufspüren gestohlener Gelder ausgesetzt, wobei bereits über 4 Millionen Dollar als Teil der laufenden Aktivitäten gegen die Lazarus-Gruppe ausgezahlt wurden.
Hack über einen Entwickler-PC
Nach einer forensischen Analyse haben die Verantwortlichen offen gelegt, wie der Angriff durch die Hacker abgelaufen ist.
Im ersten Schritt wurde ein bösartiges JavaScript unter folgender URL
*http://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js
in ein Safe{Wallet} auf AWS injiziert. Einer der Entwickler scheint dann das Script in die Produktionsumgebung übernommen zu haben. Dieses JS-Modul war in der Lage, die Funktion executeTransaction() zu ändern, aber nur, wenn der Unterzeichner einer Transaktion in einer vordefinierten Liste (Bybit Multisig-Besitzer) enthalten war. Am Ende des Tages waren die Angreifer so in der Lage, die rund 1,5 Milliarden US-Dollar in Etherum-Guthaben von Bybit-Konten abzuziehen.
Die Kollegen von Bleeping Computer haben das Ganze in diesem Artikel noch etwas detaillierter beschrieben. Ich weiß nicht, wie es der Leserschaft geht – aber mir wird ganz schlecht, wenn ich so etwas lese. Da wird versucht, die Leute in Kryptowährungen zu locken. Aber über die letzten Jahre lese ich am laufenden Band, wie Konten mit Guthaben in Kryptowährungen durch Hacks geleert werden. Und am Ende des Tages reichen dann einige Zeilen JavaScript-Code, um Milliarden zu erbeuten. Das ist auch einer der Gründe, warum ich die Finger von Kryptowährungen gelassen habe (der andere Grund ist, dass ich von dem Konstrukt nichts verstehe und nicht nachvollziehen kann, wo der Gegenwert her kommen soll).
Anzeige
ist ja nur Crypto Geld
;-P
Richtig: Es wurde NICHTS geklaut. Ich denke, dass wird man auch recht bald an den Börsen sehen, dass diese Schietcoins NICHTS sind. GarNICHTS.
Sie haben noch einen Preis aber hatten, haben und werden nie einen (intrinsischen) Wert haben. Also meine Meinung, keine Kaufs-/Verkaufsempfehlung.
Wo bleiben die Jungs und Mädels: "Du hast Bitcoin und Co. nicht verstanden"?
Hmmm… sehe ich das richtig? Das Cold Wallet liegt in der Cloud in einem S3 Bucket? Also… online? Da ließt sich die Definition von Cold Wallet aber ganz anders.
So wie ich das verstanden habe, hat der Hack während einem geplanten ETH Übertrag von der Multisig Cold Wallet (die ja auch noch korrekt für den Übertrag freigegeben wurde) auf eine Warm-Wallet, stattgefunden.
Nur sind die ETH's halt dummer Weise nicht dort angekommen.
Also, ich lese das so nicht aus dem Artikel heraus. Ein Entwickler-PC wurde kompromittiert (wohl per Social engineering) und so erhielt man Zugriff zum AWS S3-Bucket, was wiederum zum Einschleusen von manipulierten Javascript-Code führte. Dadurch konnte die Transaktionssignierung manipuliert werden. Auf diese Weise konnte man mit einer "einzigen" Genehmigung mehrere Abhebungen autorisieren. Die Kompromittierung der Cold Wallets folgte nach dem Einschleusen vom JS-Code in das S3-Bucket.
Die Frage war doch nicht ob, sondern nur wann das passieren würde… Aber Geld in der Cloud ist ja genauso sicher wie Daten in der Cloud, gell! (Ironie Off)