Nordkoreas Lazarus-Gruppe als die Gruppe hinter dem Bybit-Hack entlarvt

Bybit wurde heute von Hackern lahmgelegt, und wir wissen nun genau, wer dahintersteckt. Die berüchtigte Lazarus-Gruppe, ein staatlich unterstütztes Cyberkriminellen-Syndikat Nordkoreas, wurde als Drahtzieher des 1,5 Milliarden Dollar schweren Bybit-Angriffs entlarvt – dem größten Kryptodiebstahl der Geschichte.

Die Bestätigung kam von ZachXBT, einem der angesehensten On-Chain-Ermittler in diesem Bereich, der unumstößliche Beweise vorlegte, die Lazarus mit dem Angriff in Verbindung bringen.

Arkham Intelligence, das eine Belohnung von 50.000 ARKM für diedentder Angreifer ausgesetzt hatte, bestätigte die Ergebnisse umgehend. Die Analyse umfasste Berichten zufolge Wallet-Verbindungen, Testtransaktionen und forensische Daten der Blockchain, die allesamt direkt auf die Lazarus-Gruppe hinwiesen.

ZachXBT und Josh von ChainFeeds (CF) erkannten den Zusammenhang zwischen dem Bybit-Hack und einem früheren Angriff auf Phemex, eine andere Kryptobörse. Ihre Recherchen ergaben, dass in beiden Fällen dieselben Adressen, Geldwäschemuster und Exploit-Methoden verwendet wurden. Es war klar: Lazarus steckte dahinter.

BREAKING: BYBIT-HACK-KOSTENVORWURF IN MILLIARDENDOPPELZAHL VON 1 MILLIARDE $ VON ZACHXBT GELÖST

Heute um 19:09 UTC @zachxbt reichte defiBeweis ein, dass dieser Angriff auf Bybit von der LAZARUS GROUP durchgeführt wurde.

Seine Einreichung enthielt eine detaillierte Analyse der Testtransaktionen und der verwendeten verbundenen Wallets im Vorfeld… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Arkham (@arkham) 21. Februar 2025

Arkhams Kopfgeld in Höhe von 32.000 Dollar war im Vergleich zu Bybits Verlust ein Klacks. Doch die Geschwindigkeit, mit der die Belohnung wirkte, war unglaublich. Innerhalb einer Stunde hatte ZachXBT den Fall gelöst.

Der nordkoreanische Lazarus plündert die Kryptoindustrie seit Jahrenmaticaus und finanziert Pjöngjangs ballistisches Raketenprogramm mit gestohlenen Kryptowährungen.

Bybit-CEO Ben Zhou bestätigte, dass die Börse nach dem Hack weiterhin voll funktionsfähig ist und versicherte den Nutzern: „Bybits Hot Wallet, Warm Wallet und alle anderen Cold Wallets funktionieren einwandfrei. Lediglich die ETH-Cold-Wallet wurde gehackt. Alle Auszahlungen sind wie gewohnt möglich.“

In einer späteren Stellungnahme bekräftigte Zhou, dass Bybit trotz der gestohlenen Gelder weiterhin zahlungsfähig sei. „Alle Kundengelder sind eins zu eins abgesichert. Wir können den Verlust kompensieren.“

Vor dem heutigen Bybit-Hack war der größte Exploit in der Geschichte der Kryptowährungen der Ronin-Network-Angriff am 23. März 2022, bei dem 600 Millionen Dollar erbeutet wurden.

Zhou erklärte, dass Bybits Ethereum (ETH) Multisig Cold Wallet etwa eine Stunde vor dem Angriff eine Überweisung an die Warm Wallet der Börse getätigt hatte. Die Transaktion schien zunächst normal zu sein.

„Es sieht so aus, als sei diese spezielle Transaktion verschleiert worden“, sagte Zhou. „Alle Unterzeichner sahen eine verschleierte Benutzeroberfläche, die die korrekte Adresse anzeigte, und die URL stammte von Safe.“

Die eigentliche Signaturnachricht veränderte jedoch die Smart-trac-Logik der ETH-Cold-Wallet von Bybit. Dadurch konnte der Hacker die Wallet übernehmen und alle ETH an einedentAdresse transferieren.