BYBIT HACK: rekord összegű ETH tűnt el egyetlen éjszaka alatt!
Pénteken a Lazarus csoport egyetlen akcióval közel 1,5 milliárd dollárnyi ETH-t és származtatott ETH tokeneket lopott el a Bybittől.
Észak-Korea hacker csoportja közel 1,5 milliárd dollárt lopott a Bybit tőzsdéről
Február 21-én a Bybit történetének legnagyobb biztonsági incidensét szenvedte el, amely egyben az egyik legnagyobb kriptotőzsdei hack a kriptotörténelemben. A támadók hozzáférést szereztek a Bybit egyik Ethereum hidegtárcájához, és 401 347 ETH-t tulajdonítottak el, amelynek értéke meghaladta az 1,4 milliárd dollárt. Az eset újra ráirányította a figyelmet a kriptotőzsdék sérülékenységeire.
A támadás egy rutinszerű ETH hidegtárca–meleg tárca átvezetés során történt. A hackerek kifinomult technikát alkalmaztak: megváltoztatták az aláírási felület működését, így a tranzakciók hitelesnek tűntek, miközben az okosszerződés logikája módosult, lehetővé téve az illetéktelen hozzáférést.
A kiberbiztonsági elemzés szerint a támadók fejlett adathalászati módszereket és social engineering technikákat alkalmaztak a belső hitelesítő adatok megszerzésére. Ezekkel sikerült kijátszaniuk a többaláírásos hitelesítési rendszert, és hamis jóváhagyásokkal észrevétlenül átutalni az eszközöket. A támadók képessé váltak „vak aláírásokat” végezni, vagyis olyan tranzakciókat hagytak jóvá, amelyeket az áldozatok másnak hittek.
A támadás tényét maga Ben Zhou, a Bybit vezérigazgatója is elismerte, hozzátéve, hogy a hackerek a tőzsde egyik Ethereum hidegtárcájához fértek hozzá. A pontos módszer megértése kihatással lehet az egész iparágra.
Hogyan tudtak hozzáférni a Bybit tárcájához?
A Bybit egy rutintranzakció során figyelt fel az első gyanús jelekre. A hivatalos közlemény szerint a támadók egy összetett módszerrel manipulálták az okosszerződés logikáját, miközben elrejtették az aláírási felület manipulációját. Ennek következtében több mint 400 000 ETH és stETH, összesen több mint 1,5 milliárd dollár értékben, egy ismeretlen címre került.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
— Arkham (@arkham) February 21, 2025
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
A Lazarus csoport ezután szokásos taktikáját alkalmazva a lopott összegeket több tucat címre osztotta szét. Az elrabolt kriptó egy része:
- 401 347 ETH (~1,12 milliárd dollár)
- 90 376 stETH (~253,16 millió dollár)
- 15 000 cmETH (~44,13 millió dollár)
- 8 000 mETH (~23 millió dollár)
A támadók végül a decentralizált tőzsdéken átváltották az összes eszközt ETH-ra, hogy nehezebben lehessen követni a nyomukat.
A Bybit példamutatóan kezelte a hackertámadást
Ben Zhou már 30 perccel az eset után megszólalt, és biztosította, hogy a tőzsde lesz az elsődleges információforrás. A vállalat folyamatos frissítéseket adott ki, élő közvetítésben válaszolt a felhasználók kérdéseire, és konkrét időkereteket, számadatokat közölt, hogy elkerülje a pánikot.
A Bybit nem hárította a felelősséget, nyíltan vállalta a biztonsági hibát, és az iparág támogatását is maga mögé állította, hogy helyreállítsa hitelességét. A gyors, transzparens és stratégiai válasz sikeresen megnyugtatta a piacot és stabilizálta a tőzsde helyzetét.
Veszélyben a Safe{Wallet}?
A tőzsde belső vizsgálata során külön figyelmet fordítanak a Safe{Wallet} nevű önkiszolgáló multisig tárcára, amelyet több száz másik protokoll és tőzsde is használ biztonságos tranzakciók jóváhagyására.
A Safe csapata gyorsan reagált, és közölte, hogy szorosan együttműködnek a Bybittel a vizsgálatban, és bizonyos funkciókat ideiglenesen felfüggesztenek, bár azt nem részletezték, melyek ezek.
A Safe szerint nincs bizonyíték arra, hogy az ő infrastruktúrájuk sérült volna, ezt az Ethereum biztonsági közössége is megerősítette.
De akkor hogyan tévesztették meg az aláírókat?
A kutatók egyre inkább arra hajlanak, hogy a támadás célzott volt, és a Bybit multisig aláíró eszközeit fertőzték meg. Taylor Moynahan, az Ethereum legnagyobb tárcájának, a MetaMasknak a biztonsági vezetője szerint a támadók egy hamis Safe felületet jelenítettek meg az áldozatok eszközein, így azok azt hitték, egy megszokott felületen hajtanak végre tranzakciókat.
Odysseus, az Ethereum biztonsági protokoll, a Phalanx alapítója szerint a támadók kihasználták, hogy a hardvertárcák nem mutatják a pontos tranzakciót, csak az aláírási hasht. Ezzel a módszerrel az áldozatok jóváhagyták a saját pénzeszközeik ellopását.
Moynahan egy hasonlattal érzékeltette a támadás lényegét:
„A képernyődön megjelenő pixelek mindig egy forrásból származnak – lehet ez a merevlemezed, egy weboldal, vagy egy távoli szerver. Ha a támadó hozzáfér ezekhez a forrásokhoz, akkor manipulálhatja azt, amit látsz.”
Egyre több beépített embert alkalmaz a Lazarus
Még nem tisztázott, hogyan juttatták el a rosszindulatú kódot a multisig aláírókhoz, de egyes bizonyítékok arra utalnak, hogy belső segítséget is kaphattak.
A Lazarus csoport rendszeresen alkalmaz személyre szabott támadásokat, és az utóbbi időben egyre több bizonyíték van arra, hogy északi-koreai hackerek beépülnek kriptovállalatokba fejlesztőként vagy tanácsadóként.
A Bybit elleni támadás egy sorozat része lehet, amelybe a 2024 októberében végrehajtott 50 millió dolláros Radiant hack és a 2023 júliusi, 230 millió dolláros WazirX támadás is beletartozik.
A Radiant támadás során egy észak-koreai hacker egy ártatlannak tűnő ZIP fájlt küldött Telegramon, amely megfertőzte a rendszert. A támadók eközben megtévesztő felületekkel manipulálták az áldozatok tranzakciós képernyőjét, így a felhasználók jóváhagyták a lopást.
A kutatók arra is felfigyeltek, hogy a Lazarus két nappal a Bybit támadás előtt egy próbafázist hajtott végre proxy címek segítségével, és már ekkor összegyűjtötték az aláírásokat, hogy az éles támadás gyors és pontos lehessen.
Hogyan lehetett volna védekezni?
Bár a Bybit vezérigazgatója azonnal a Safe rendszerében keresett hibát, a szakértők szerint a támadás célzott, kifinomult módszerekkel történt, amelyeket hagyományos védelemmel nehéz kivédeni.
Odysseus szerint egy hardvertárca sem ér sokat, ha egy fertőzött számítógépen vagy telefonon hagyják jóvá a tranzakciót.
„Ezek kifejezetten célzott támadások. Ha a készülék – akár egy számítógép, akár egy mobil – megfertőződik, szinte lehetetlen megállítani a támadást, hacsak nem egy teljesen offline eszközről írják alá a tranzakciókat.”
Ido Ben Natan, a Blockaid biztonsági megoldás alapítója szerint a „vak aláírás” és a rosszindulatú szoftverek kombinációja a leggyorsabban terjedő fenyegetés a kriptovilágban.
A kriptoelemző Arkham 50 000 dolláros jutalmat ítélt oda ZachXBT-nek, miután sikerült összekapcsolnia a Bybit elleni támadást a Lazarus csoport tevékenységével.
Észak-Korea jelenleg több ETH-val rendelkezik, mint Vitalik Buterin vagy az Ethereum Foundation. A lopott összegeket feltételezhetően az ország nukleáris fegyverprogramjának finanszírozására használják fel.
Bitcoin
Llecram • 2025. június 27.
Az FHFA vezetője szerint az ügynökség vizsgálja, miként lehetne figyelembe venni a Bitcoint a jelzáloghitelre való jogosultság megállapításakor.
Bitcoin
Adél Málek • 2025. június 27.
Amerikai tőzsdei rekordok mellett a Bitcoin is erősödik - elemzők szerint küszöbön állhat a következő emelkedő szakasz.
DeFI
day13th • 2025. június 27.
Egy hacker 9,6 millió dollárt lopott a Resupply stabilcoin protokollból, amely a Convex és Yearn Finance DeFi platformokhoz kapcsolódik.
Press Release
Alhambra • 2025. június 27.
A Bitcoin, az Ethereum és társaik ma már nemcsak a pénzügyi szférát hódítják meg, hanem a fogadási ipart is teljesen átalakítják.
