Ein ausgeklügeltes „Phishing“ für den größten Diebstahl in der Kryptogeschichte: 1,4 Milliarden flogen vom Bybit-Konto ab

Letzten Freitag geriet die Kryptowelt von einem euphorischen Zustand, nachdem die SEC ihre Klage gegen Coinbase fallen ließ , in eine tiefe Depression. Die Branche erlebte erneut einen Albtraum, der sie seit ihrer Gründung verfolgt: Bybit, die nach Transaktionszahl zweitgrößte Börse der Welt mit über 40 Millionen Nutzern weltweit, wurde gehackt. Das Unternehmen gab bekannt, dass Cyberkriminelle seine Ethereum-Cold-Wallet geleert und dabei rund 401 Token im damaligen Wert von über 1,4 Milliarden Dollar erbeutet hätten. Es brach Panik unter den Anlegern aus, da es sich um den größten Diebstahl von Geldern in der Geschichte der Branche handelte.

Was ist passiert?

Hacker haben das Ethereum Cold Wallet angegriffen: Auch Cold Wallet genannt, ist ein System ohne Internetverbindung , das die Zugangsschlüssel zu Kryptowährungen speichert und als das sicherste gilt. Tatsächlich handelt es sich um eine Multi-Signatur-Wallet, die zur Genehmigung einer Transaktion mehrere Autorisierungen erfordert. Am Freitag transferierten Führungskräfte des Unternehmens im Rahmen eines routinemäßigen Betriebsvorgangs Gelder von ihrer Cold Wallet auf eine Hot Wallet (die die Schlüssel an mit dem Netzwerk verbundenen Orten speichert). Dieser Vorgang wird normalerweise durchgeführt, wenn auf der Plattform mehr Liquidität benötigt wird.

Der CEO der Plattform, Ben Zhou, war der letzte, der die Transaktion bestätigte , allerdings nicht die von ihm beabsichtigte. Die Angreifer entwickelten mithilfe eines ausgeklügelten Systems eine gefälschte Schnittstelle, die die von Bybit verwendete Wallet-Management-Plattform perfekt nachbildete. Diese Schnittstelle zeigte verifizierte Adressen und URLs an, wodurch die Transaktionen legitim erschienen. Nachdem die Unterzeichner die Transaktion genehmigt hatten, leiteten die Hacker die Gelder auf ein unbekanntes Wallet um. Diese Angriffsmethode war so effektiv, dass die Sicherheitssysteme von Bybit Anomalien erst erkannten, als es zu spät war. Eine äußerst raffinierte Version des Phishings. Diese Technik wird häufig von Hackern eingesetzt, die Benutzer durch Identitätsdiebstahl dazu bringen möchten, persönliche Informationen zu stehlen oder auf Online-Konten oder Passwörter zuzugreifen.

Kurz nach dem Angriff stellte das Forschungsunternehmen Arkham Intelligence fest, dass Gelder an neue Adressen verschoben und verkauft wurden. Bisher hat die Zusammenarbeit zwischen Bybit und anderen Plattformen dazu geführt, dass gestohlene Gelder im Wert von fast 43 Millionen US-Dollar blockiert und eingefroren wurden. Andere werden durch verschiedene Verschleierungstechniken gewaschen, darunter Chain Hopping , bei dem eine Form von Kryptowährung in eine andere umgewandelt und über mehrere Blockchains hinweg verschoben wird: TRM Labs schätzt, dass bis Sonntagabend 160 Millionen US-Dollar durch illegale Kanäle geschleust wurden.

Warum ist Ethereum anfälliger?

Das Ethereum-Netzwerk wird in der Branche aufgrund der Vielzahl an Anwendungsfällen, die es bietet, hoch geschätzt . Dank des Solidity-Codes können auf dieser Blockchain tatsächlich intelligente Anwendungen und Verträge erstellt und entwickelt werden. „Aber das sind auch Schwachstellen, die Hacker ausnutzen“, sagt Javier Pastor, Schulungsleiter bei Bit2Me.

Adolfo Contreras, strategischer Berater bei Blockstream, erklärt, dass das Problem in Mängeln im Design von Ethereum liege. Dieses Netzwerk verwendet EVM, eine virtuelle Maschine, die eine breite Palette von Anweisungen ausführen und Smart Contracts ausführen kann. Der Experte ist der Ansicht, dass dieses System sehr komplex ist und zu viele unterschiedliche Transaktionen generiert, die von der Hardware-Wallet – einem kleinen Gerät, mit dem die privaten Schlüssel gespeichert und geschützt werden können – nicht „unterstützt“ werden können. Das heißt, es verfügt nicht über ausreichende Kapazitäten, um die enorme Anzahl der von EVM generierten Transaktionen zu interpretieren. „Die Konsequenz ist, dass beim Signieren einer EVM-Transaktion, wenn diese zu komplex ist und das Wallet sie nicht interpretieren kann, eine blinde Signatur erfolgt .“ Auf dem kleinen Bildschirm des Geräts sehen Sie eine alphanumerische Folge und unterschreiben im Grunde alles, was erscheint“, erklärt er.

Was hat das Unternehmen getan?

Am Freitag um 16:51 Uhr meldete das Unternehmen den Angriff über seine sozialen Medien. Etwas mehr als eine Stunde später beantwortete der CEO in einem Streaming- Auftritt Fragen von Nutzern und Investoren und teilte dabei die Details des Angriffs und die bekannt gewordenen Updates mit. Er versicherte dabei stets, dass die anderen Wallets sicher seien und nicht betroffen seien: „ Bybit ist solvent. Selbst wenn dieser Verlust nicht wieder ausgeglichen werden kann , sind alle Vermögenswerte unserer Kunden 1:1 abgesichert, wir können den Verlust ausgleichen“, fügte er hinzu.

Sie baten die Industrie sofort um Zusammenarbeit und versprachen, 10 % der gestohlenen Gelder an diejenigen zu spenden, die ihnen bei der Wiederbeschaffung dieser Gelder helfen würden. Auch andere Börsen haben Maßnahmen ergriffen und die von diesem Hacker verwendete Wallet sowie alle Wallets, an die ein Teil der gestohlenen Gelder gesendet wurde, blockiert. „Jeder Versuch des Angreifers, die gestohlenen Kryptowährungen auszuzahlen, wird von der Börse blockiert. Diese Wallets werden mithilfe einer Software markiert, die dank der Blockchain alle Bewegungen des Hackers verfolgt“, erklärt Cristina Carrascosa, CEO und Gründerin von ATH21.

Heute Morgen gab Ben Zhou bekannt, dass Bybit die gestohlenen Gelder bereits wieder aufgefüllt habe und wieder über ausreichende Mittel verfüge, um 100 % der Einlagen seiner Kunden zu decken. Das Unternehmen teilte mit, dass es durch Kredite, Einlagen von Großinvestoren und Direktkäufe des Tokens 446,87 Einheiten Ethereum im aktuellen Wert von über 1,2 Milliarden Dollar aufgefüllt habe.

Wer steckt hinter dem Angriff?

Analysefirmen wie Arkham und TRM Labs haben die gestohlenen Gelder verfolgt und ihre Untersuchungen deuten darauf hin, dass die nordkoreanische Lazarus Group der Schuldige hinter dem Hack ist. „Der Angriff folgte ihrem bekannten Spielplan, und nordkoreanische Hacker verwischen ihre Spuren nicht, da sie außerhalb der Reichweite der Strafverfolgungsbehörden operieren“, sagte Ari Redbord, Global Director of Policy and Government Affairs bei TRM Labs. An einem einzigen Tag haben nordkoreanische Hacker den Betrag, den sie im Jahr 2024 gestohlen haben, fast verdoppelt: Tatsächlich waren sie im vergangenen Jahr für etwa 35 % aller gestohlenen Gelder verantwortlich, was etwa 800 Millionen Dollar an Kryptowährung entspricht, die bei Operationen mit großer Wirkung gestohlen wurden. Einer aktuellen Studie von Chainalysis zufolge beträgt dieser Betrag bei 47 Vorfällen im letzten Jahr 1,34 Milliarden US-Dollar.

Gab es ähnliche Fälle?

Laut TRM Labs kommen Angriffe auf Hot Wallets und Smart Contracts häufig vor, Einbrüche in diesem Ausmaß bei Cold Wallets seien jedoch selten. Es gab jedoch noch weitere ähnliche Angriffe. Contreras merkt an, dass ihn dieser jüngste Hack an den Parity-Hack im Jahr 2017 erinnert: Damals nutzten Hacker eine Schwachstelle in den Smart Contracts der Software aus, die die Verwaltung von Wallets mit mehreren Signaturen ermöglichten. Die Angreifer übernahmen die Kontrolle über einige Wallets und leiteten die Gelder ab : Sie erbeuteten rund 150.000 Einheiten Ethereum, die damals rund 30 Millionen Dollar wert waren.

Nach diesem jüngsten Vorfall gehen Experten davon aus, dass Plattformen mehr Budget für die Cyberabwehr bereitstellen werden. Redbord weist darauf hin, dass die Geschwindigkeit, mit der Angreifer derartige Geldbeträge bewegen, noch vor einem Jahr unvorstellbar gewesen sei. „Das Ausmaß und die Geschwindigkeit dieser Geldwäscheoperation markieren eine gefährliche Entwicklung in der Art und Weise, wie staatlich geförderte Hacker das Ökosystem der Kryptowährungen ausnutzen können, indem sie sich die Technologie und robuste Geldwäschenetzwerke zunutze machen. Dies weist auf einen dringenden Bedarf an grenzübergreifender Zusammenarbeit bei der Strafverfolgung hin.“

Sie würdigen jedoch die effiziente Reaktion des Unternehmens auf einen Unfall dieses Ausmaßes. „Wir sprechen von einem Hackerangriff auf 1,4 Milliarden, der nicht einmal ein Liquiditätsproblem an der Börse verursacht hat.“ Wenn wir darüber nachdenken, handelt es sich hier um einen sehr hohen Betrag, und er könnte seine Arbeit auch ohne diesen Betrag fortsetzen. „Dies ist ohne Zweifel der Standard, den jeder anstrebt, der in diesem Sektor arbeitet“, schließt Carrascosa.