Een geavanceerde 'phishing' voor de grootste diefstal in de cryptogeschiedenis: 1,4 miljard verdween van de Bybit-rekening

Afgelopen vrijdag ging de cryptowereld van een euforische staat, nadat de SEC haar rechtszaak tegen Coinbase had ingetrokken , naar een diepe depressie. De sector maakte opnieuw een nachtmerrie mee die haar al haar hele geschiedenis achtervolgt: Bybit, de op één na grootste beurs ter wereld op basis van het aantal transacties en met meer dan 40 miljoen gebruikers wereldwijd, was gehackt. Het bedrijf maakte bekend dat cybercriminelen de cold wallet van Ethereum hadden leeggehaald en er zo'n 401 tokens mee hadden genomen, die destijds meer dan 1,4 miljard dollar waard waren. Er brak paniek uit onder investeerders, omdat het de grootste diefstal van fondsen in de geschiedenis van de industrie was.

Wat is er gebeurd?

Hackers hebben de Ethereum Cold Wallet aangevallen: ook wel cold wallet genoemd. Het is een systeem zonder internetverbinding dat de toegangssleutels tot cryptovaluta opslaat en wordt als het veiligste beschouwd. Het is feitelijk een multi-signature wallet, waarbij meerdere autorisaties nodig zijn om een ​​transactie goed te keuren. Vrijdag waren leidinggevenden van het bedrijf bezig met het overmaken van geld van hun cold wallet naar een hot wallet (die de sleutels opslaat op plekken die verbonden zijn met het netwerk). Dit is onderdeel van een routinematig operationeel proces, dat doorgaans wordt uitgevoerd wanneer er meer liquiditeit op het platform nodig is.

De CEO van het platform, Ben Zhou, was de laatste die de transactie valideerde , maar niet de transactie die hij beoogde. De aanvallers hebben met behulp van een geavanceerd systeem een ​​nep-interface ontworpen die het wallet-beheerplatform van Bybit perfect nabootst. Deze interface gaf geverifieerde adressen en URL's weer, waardoor de transacties legitiem leken. Nadat de ondertekenaars de transactie hadden goedgekeurd, stuurden de hackers het geld door naar een onbekende wallet . Deze aanvalsmethode was zo effectief dat de beveiligingssystemen van Bybit pas afwijkingen ontdekten toen het te laat was. Een uiterst geavanceerde vorm van phishing, een techniek die vaak wordt gebruikt door hackers die gebruikers willen misleiden door middel van identiteitsdiefstal om persoonlijke informatie te stelen of toegang te krijgen tot online accounts of wachtwoorden.

Kort na de aanval ontdekte onderzoeksbureau Arkham Intelligence dat er geld naar nieuwe adressen werd verplaatst en werd verkocht. Tot nu toe heeft de samenwerking tussen Bybit en andere platforms ertoe geleid dat bijna 43 miljoen dollar aan gestolen geld is geblokkeerd en bevroren. Andere worden witgewassen via allerlei verduisteringstechnieken, waaronder chain hopping , waarbij de ene vorm van cryptocurrency wordt omgezet in een andere en deze vervolgens over meerdere blockchains wordt verplaatst. TRM Labs schat dat er zondagavond al 160 miljoen dollar via illegale kanalen was weggesluisd.

Waarom is ethereum kwetsbaarder?

Het Ethereum-netwerk wordt door de sector hoog gewaardeerd vanwege de vele toepassingsmogelijkheden die het biedt. Dankzij de Solidity-code kunnen op deze blockchain namelijk slimme applicaties en contracten worden gecreëerd en ontwikkeld. "Maar dit zijn ook kwetsbaarheden waar hackers misbruik van maken", zegt Javier Pastor, opleidingsdirecteur bij Bit2Me.

Adolfo Contreras, strategisch adviseur bij Blockstream, legt uit dat het probleem ligt in de gebreken in het ontwerp van Ethereum. Dit netwerk maakt gebruik van EVM, een virtuele machine die een breed scala aan instructies kan uitvoeren en slimme contracten kan uitvoeren. De expert is van mening dat dit systeem zeer complex is en te veel verschillende transacties genereert die niet kunnen worden 'ondersteund' door de hardware wallet, een klein apparaatje waarmee de privésleutels worden opgeslagen en beschermd. Met andere woorden, het heeft niet voldoende capaciteit om het enorme aantal transacties dat EVM genereert, te interpreteren. “Het gevolg is dat bij het ondertekenen van een EVM-transactie, als deze te complex is en de wallet deze niet kan interpreteren, er een blinde handtekening wordt gemaakt . "Op het kleine scherm van het apparaat zie je een alfanumerieke reeks en in principe onderteken je alles wat verschijnt", legt hij uit.

Wat heeft het bedrijf gedaan?

Vrijdag om 16:51 uur meldde het bedrijf de aanval op sociale media. Iets meer dan een uur later beantwoordde de CEO via een streamingoptreden vragen van gebruikers en investeerders, waarbij hij de details van de aanval en de updates die bekend werden, bekendmaakte. Hij verzekerde te allen tijde dat de andere wallets veilig waren en niet waren aangetast: “ Bybit is solvabel. Zelfs als dit verlies niet wordt goedgemaakt , zijn alle activa van onze cliënten 1 op 1 gedekt, en kunnen we het verlies dekken", voegde hij toe.

Ze vroegen onmiddellijk om medewerking van de industrie en beloofden 10% van de gestolen gelden te doneren aan degenen die hen zouden helpen deze gelden terug te krijgen. Ook andere beurzen hebben actie ondernomen en de wallets die door deze hacker worden gebruikt, en alle wallets waar een deel van het gestolen geld naartoe wordt verzonden, geblokkeerd. “Elke beweging van de aanvaller die de gestolen cryptovaluta wil verzilveren, wordt door de beurs geblokkeerd. "Deze wallets zijn voorzien van tags met behulp van software die alle bewegingen van de hacker bijhoudt, dankzij de blockchain ", legt Cristina Carrascosa, CEO en oprichter van ATH21, uit.

Ben Zhou maakte vanmorgen bekend dat Bybit de gestolen fondsen alweer heeft aangevuld en weer over voldoende activa beschikt om 100% van de stortingen van zijn klanten te dekken. Het bedrijf zei dat het 446,87 eenheden Ethereum heeft aangevuld, ter waarde van meer dan $ 1,2 miljard tegen de huidige prijzen, via leningen, deposito's van grote investeerders en directe aankopen van de token.

Wie zit er achter de aanval?

Analysebureaus zoals Arkham en TRM Labs houden de gestolen fondsen in de gaten. Hun onderzoek wijst uit dat de Noord-Koreaanse Lazarus Group de dader is achter de hack. "De aanval volgde hun bekende draaiboek en Noord-Koreaanse hackers verbergen hun sporen niet omdat ze buiten het bereik van de wetshandhaving opereren", aldus Ari Redbord, wereldwijd directeur beleid en overheidszaken bij TRM Labs. In één dag verdubbelden Noord-Koreaanse hackers bijna het bedrag dat ze in 2024 stalen: vorig jaar waren ze verantwoordelijk voor ongeveer 35% van alle gestolen fondsen, goed voor ongeveer $ 800 miljoen aan cryptocurrency die werd gestolen bij operaties met een grote impact. Volgens een recent onderzoek van Chainalysis bedroeg dit bedrag vorig jaar 1,34 miljard dollar in 47 incidenten.

Zijn er soortgelijke gevallen geweest?

Volgens TRM Labs komen aanvallen op hot wallets en smart contracts vaak voor, maar zijn inbreuken op cold wallets op deze schaal zeldzaam. Er hebben zich echter meer soortgelijke aanvallen voorgedaan. Contreras merkt op dat deze laatste hack hem doet denken aan de Parity-hack uit 2017: toen maakten hackers misbruik van een kwetsbaarheid in de smart contracts van de software , waarmee multi-signature wallets konden worden beheerd. De aanvallers namen de controle over een aantal wallets over en verduisterden de fondsen : ze gingen er vandoor met ongeveer 150.000 eenheden Ethereum, destijds goed voor ongeveer 30 miljoen dollar.

Naar aanleiding van dit laatste incident zijn experts van mening dat platforms meer budget zullen vrijmaken voor cyberverdediging. Volgens Redbord was de snelheid waarmee aanvallers zulke bedragen verplaatsen een jaar geleden nog ondenkbaar. “De omvang en snelheid van deze witwasoperatie markeren een gevaarlijke evolutie in de manier waarop door de staat gesponsorde hackers het ecosysteem van cryptovaluta kunnen misbruiken, waarbij ze gebruikmaken van technologie en robuuste witwasnetwerken. Dit wijst op een dringende behoefte aan grensoverschrijdende samenwerking op het gebied van rechtshandhaving.”

Ze erkennen echter wel dat het bedrijf efficiënt heeft gereageerd op een ongeval van deze omvang. “We hebben het hier over een hack van 1,4 miljard die nog niet eens een probleem heeft veroorzaakt voor de liquiditeit van de beurs . Als we er even over nadenken, dan hebben we het over een heel hoog bedrag. Hij zou ook zonder dat bedrag kunnen blijven opereren. “Het is zonder twijfel de standaard waar iedereen die in deze sector werkt naar streeft”, besluit Carrascosa.