Bybit-CEO Ben Zhou gab am Donnerstag bekannt, dass 88,87 % der 1,4 Milliarden Dollar, die von der Börse in Kryptowährung gestohlen wurden, weiterhin tracsind, obwohl die Lazarus Group die Gelder über Bitcoin Mixer transferiert hat.
Die gestohlenen Vermögenswerte, bestehend aus 500.000 ETH, wurden größtenteils in 12.836 BTC umgewandelt und sind nun auf 9.117 Wallets verteilt. Zhou, der auf X eine detaillierte Aufschlüsselung des Hacks veröffentlichte, bestätigte , dass 3,54 % der gestohlenen Gelder bereits eingefroren wurden, während 7,59 % im Darknet verschwunden sind. Der Rest? Noch immer in Reichweite – doch die Hacker setzen alles daran, ihre Spuren zu trac .
Der Angriff hat Nordkorea auf den dritten Platz unter den Regierungen mit den meisten Bitcoinkatapultiert. Das Land kontrolliert nun 13.562 BTC im Wert von über 1,14 Milliarden US-Dollar. Nur die Vereinigten Staaten mit 198.109 BTC im Wert von 16,71 Milliarden US-Dollar und das Vereinigte Königreich mit 61.245 BTC im Wert von 5,17 Milliarden US-Dollar besitzen mehr.
Bhutan und El Salvador sind in der Liste abgerutscht und halten nun 10.635 bzw. 6.117 BTC. Der plötzliche Anstieg der nordkoreanischen Bitcoin Bestände erfolgte nur wenige Tage, bevor Donald Trump eine Exekutivanordnung zur Einrichtung der Strategischen Bitcoin Reserve (SBR) unterzeichnete, was die Spekulationen über Pjöngjangs langfristige Kryptostrategie weiter anheizte.
Hacker nutzten Mixer, um gestohlene Bitcoin zu verstecken
Zhous Beitrag enthüllte, dass 86,29 % der gestohlenen Vermögenswerte – ETH im Wert von etwa 1,23 Milliarden US-Dollar – in Bitcoin umgewandelt und auf 9.117 Wallets verteilt wurden. Die Hacker begannen sofort, Mixer zu nutzen und sendeten mindestens 193 BTC an den Wasabi Mixer, bevor sie die gewaschenen Gelder über verschiedene Peer-to-Peer-Plattformen (P2P) weiterverteilten.
„Wir gehen davon aus, dass sich dieser Trend verstärken wird, da immer mehr Gelder über sogenannte Mixer abgewickelt werden“, schrieb Zhou. Er räumte ein, dass tracgemischter Transaktionen zur größten Herausforderung geworden sei, und rief Kopfgeldjäger zur Unterstützung bei deren Entschlüsselung auf. In den letzten 30 Tagen gingen bei Bybit 5.012 Kopfgeldmeldungen ein, von denen jedoch nur 63 gültig waren. Zhou stellte klar: Es werden dringend mehr Kopfgeldjäger benötigt.
Bybit ignorierte Sicherheitsrisiken vor dem Angriff
In einem Interview räumte Zhou ein, dass Bybit bereits Monate vor dem Hackerangriff Warnungen vor Sicherheitslücken ausgesprochen hatte. Er enthüllte, dass die Börse drei bis vier Monate vor dem Angriff festgestellt hatte, dass die kompromittierte Software Safe nicht vollständig mit Bybits Sicherheitsframework kompatibel war.
„Wir hätten auf ein neueres System umsteigen und von Safe wegkommen sollen“, sagte Zhou. „Das wollen wir jetzt defitun.“
Rahul Rumalla, Chief Product Officer von Safe, verteidigte das Unternehmen und erklärte, dass bereits neue Sicherheitsfunktionen eingeführt worden seien. „Unsere Aufgabe ist es nicht nur, den Vorfall zu beheben, sondern sicherzustellen, dass die gesamte Branche daraus lernt, damit so etwas nicht wieder vorkommt“, sagte Rumalla.
Bybits interne Prüfung ergab, dass Hacker das System von Safe bereits lange vor dem Diebstahl infiltriert hatten. Der Computer eines Entwicklers wurde kompromittiert, wodurch die Angreifer Schadcode einschleusen und Transaktionen manipulieren konnten. Der finale Angriff erfolgte durch eine gefälschte Transaktionsanfrage an Zhou selbst, der die Überweisung unwissentlich genehmigte. In dem Moment, als er die Transaktion bestätigte, erbeuteten die Hacker Kryptowährungen im Wert von 1,5 Milliarden US-Dollar.
Der Kapitalabfluss war sofort in der Blockchain sichtbar, und Kryptoanalysten brachten den Diebstahl umgehend mit der Lazarus Group, einem nordkoreanischen Hacker-Syndikat, in Verbindung. Zhou reagierte, indem er eilig zum Büro von Bybit in Singapur fuhr und dort eine intern als P-1 bekannte Notfallmaßnahme auslöste, wodurch das gesamte Führungsteam geweckt wurde.
Bybit-Nutzer hoben nach dem Hack Milliarden ab
Der Markt reagierte schnell. Zhou versicherte den Nutzern auf X, dass Bybit weiterhin zahlungsfähig sei, und veröffentlichte folgende Nachricht:
„Selbst wenn der durch den Hackerangriff entstandene Schaden nicht wiedergutgemacht werden kann, sind alle Kundengelder zu 1:1 abgesichert. Wir können den Verlust decken.“
Diese Zusicherung konnte die panikartigen Abhebungen nicht stoppen. Innerhalb weniger Stunden zogen die Nutzer fast 10 Milliarden Dollar von der Plattform ab. Der gesamte Kryptomarkt erlitt einen Einbruch.
Andere Krypto-Unternehmen schalteten sich ein, um die Situation zu stabilisieren. Gracy Chen, CEO von Bitget, gewährte Bybit einen ETH-Kredit in Höhe von 40.000 (im Wert von rund 100 Millionen US-Dollar) – ohne Zinsen und Sicherheiten. „Wir haben nie an ihrer Rückzahlungsfähigkeit gezweifelt“, sagte Chen.
Zwischen den Krisensitzungen hielt Zhou die Nutzer über X auf dem Laufenden und veröffentlichte sogar einen Screenshot einer Gesundheits-App, der zeigte, dass sein Stresslevel ungewöhnlich niedrig war.
„Ich war zu sehr damit beschäftigt, alle Meetings zu leiten. Habe ganz vergessen, mich zu stressen“, schrieb er. „Ich glaube, das wird bald kommen, wenn ich wirklich begreife, 1,5 Milliarden Dollar zu verlieren.“
Die Lazarus Group wusch unterdessen weiterhin die gestohlenen Gelder. Mit einer bereits bei früheren Hacks angewandten Geldwäschestrategie verteilten sie die Vermögenswerte auf unzählige Wallets und schleusten sie über Mixer und P2P-Netzwerke. Obwohl Bybit und andere Börsen einen Teil der Gelder einfrieren konnten, ist tracVerfolgung der restlichen Gelder zu einem Wettlauf gegen die Zeit geworden.
