Il gruppo nordcoreano Lazarus è stato smascherato come responsabile dell'attacco hacker a Bybit

Bybit è stato fatto a pezzi oggi dagli hacker, e ora sappiamo esattamente chi è stato. Il famigerato Lazarus Group, l'organizzazione criminale informatica sostenuta dallo stato nordcoreano, è stato smascherato come la mente dietro l'exploit da 1,5 miliardi di dollari di Bybit, il più grande furto di criptovalute della storia.

La conferma è arrivata da ZachXBT, uno degli investigatori on-chain più rispettati del settore, che ha diffuso prove inconfutabili che collegano Lazarus all'attacco.

Arkham Intelligence, che aveva offerto una ricompensa di 50.000 dollari per ARKM perdentgli aggressori, ha rapidamente confermato i risultati. L'analisi avrebbe incluso connessioni a wallet, transazioni di prova e dati forensi on-chain, tutti direttamente riconducibili a Lazarus Group.

ZachXBT, in collaborazione con Josh di ChainFeeds (CF), ha collegato la violazione di Bybit a un precedente attacco a Phemex, un altro exchange di criptovalute. La loro ricerca ha dimostrato che in entrambi i casi sono stati utilizzati gli stessi indirizzi, gli stessi schemi di riciclaggio e le stesse metodologie di exploit. Era chiaro: dietro a tutto c'era Lazarus.

BREAKING: ZACHXBT RISOLTA LA RICOMPENSA DA 1 MILIARDO DI DOLLARI PER L'HACKING DI BYBIT

Alle 19:09 UTC di oggi, @zachxbt ha presentato defiche questo attacco a Bybit è stato eseguito dal GRUPPO LAZARUS.

La sua presentazione includeva un'analisi dettagliata delle transazioni di prova e dei portafogli collegati utilizzati prima di… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Arkham (@arkham) 21 febbraio 2025

La taglia di Arkham, del valore di 32.000 dollari, era una goccia nell'oceano rispetto a quella appena persa da Bybit. Ma la velocità con cui la taglia ha funzionato è incredibile. Nel giro di un'ora, ZachXBT aveva risolto il caso.

Da anni la Lazarus nordcoreana prosciugamaticil settore delle criptovalute, finanziando il programma missilistico balistico di Pyongyang con criptovalute rubate.

Il CEO di Bybit, Ben Zhou, ha confermato che l'exchange rimane pienamente operativo dopo l'attacco, assicurando agli utenti che: "L'hot wallet, il warm wallet e tutti gli altri cold wallet di Bybit funzionano correttamente. L'unico cold wallet che è stato hackerato è stato il cold wallet ETH. TUTTI i prelievi sono NORMALI."

In una dichiarazione successiva, Zhou ha ribadito che Bybit rimane solvibile, indipendentemente dai fondi rubati. "Tutti gli asset dei clienti sono garantiti 1 a 1. Possiamo coprire la perdita"

Prima dell'attacco hacker di Bybit di oggi, il più grande exploit nella storia delle criptovalute era stato l'attacco da 600 milioni di dollari alla rete Ronin del 23 marzo 2022.

Zhou ha spiegato che il cold wallet multisig Ethereum (ETH) di Bybit aveva effettuato un trasferimento al warm wallet dell'exchange circa un'ora prima dell'attacco. Inizialmente, la transazione sembrava normale.

"Sembra che questa specifica transazione sia stata mascherata", ha detto Zhou. "Tutti i firmatari hanno visto un'interfaccia utente mascherata che mostrava l'indirizzo corretto, e l'URL proveniva da Safe."

Ma il messaggio di firma effettivo ha modificato la logica dello smarttracdel cold wallet ETH di Bybit. Ciò ha permesso all'hacker di prendere il controllo del wallet e trasferire tutti gli ETH a un indirizzo nondent.