Február 21-én körülbelül 1,46 milliárd dollár értékű kriptoeszközt loptak el a dubaji székhelyű Bybit kriptotőzsdéről. Az elsődleges vizsgálatok szerint a támadók rosszindulatú programot használtak, amellyel manipulálták a tranzakciók jóváhagyását, így a pénzeszközöket saját tárcáikba irányították át.
Ez az eset minden korábbi rekordot megdöntött, messze túlszárnyalva a 2021-es Poly Network elleni 611 millió dolláros támadást – ahol a pénz nagy részét végül visszaszolgáltatták. A Bybit elleni támadás így nemcsak a legnagyobb kriptolopás, de valószínűleg a történelem legnagyobb ismert pénzügyi lopása is, még a 2003-as, 1 milliárd dolláros iraki jegybanki rablást is meghaladva. A támadás pénteken történt, és az eddigi jelek szerint Észak-Korea állhat mögötte.
A Bybit közlése szerint több mint 400 000 Ethereum és stakelt Ethereum (stETH) érmét loptak el. Ezek eredetileg egy úgynevezett multisig cold walletben voltak elhelyezve, de valahogyan átkerültek egy online („hot”) tárcába, ahonnan a támadók saját címeikre utalták őket.
A 2018-ban alapított Bybit befektetői között állítólag ott volt Donald Trump volt amerikai elnök és Peter Thiel, a PayPal egykori vezetője is. A platform jelenleg több mint 60 millió felhasználót szolgál ki világszerte.
Gyanúsítottak
A blokklánc-elemzéssel foglalkozó Elliptic és más kutatók olyan pénzmosási technikákat azonosítottak, amelyek jellemzőek az észak-koreai kiberbűnözői csoportokra. Észak-Korea régóta foglalkozik kriptolopással, amelyből a tömegpusztító fegyverprogramját finanszírozza.
A kriptocsalásokat vizsgáló ZachXBT azonosította a támadókat a hírhedt Lazarus csoportként ismert észak-koreai hackercsoportként. A kapcsolatot az alapján állapították meg, hogy az ellopott kriptoeszközök egy korábban már más tőzsdéknél (Phemex, BingX, Poloniex) használt Ethereum-címre kerültek.
A Lazarus csoport, más néven Guardians of Peace vagy Whois Team, egy ismeretlen számú tagból álló hackerkollektíva, amely feltehetően Észak-Korea állami irányítása alatt működik. Bár részletes információ kevés áll rendelkezésre, a csoportot 2010 óta több jelentős kibertámadáshoz kötötték.
Kezdetben bűnszervezetként tartották számon, de ma már úgynevezett advanced persistent threat (APT) besorolást kapott, tekintettel kifinomult módszereire és kitartására. Több kiberbiztonsági szervezet különböző neveken említi: az USA Belbiztonsági Minisztériuma például Hidden Cobra-ként, a Microsoft pedig ZINC vagy Diamond Sleet néven hivatkozik rájuk. Kim Kuk-song észak-koreai dezertőr szerint a csoport Észak-Koreán belül a „414-es Összekötő Iroda” néven ismert.
Az USA Igazságügyi Minisztériuma szerint a Lazarus csoport aktívan hozzájárul Észak-Korea azon törekvéseihez, hogy a nemzetközi szankciókat megkerülve kibertevékenységekből szerezzen bevételt. A kiberhadviselés Észak-Korea számára aszimmetrikus előnyt jelent: kis létszámú, magasan képzett operátorok is komoly fenyegetést jelentenek, különösen Dél-Koreára.
A támadás módszertana – Multisig Cold Wallet működése
A multisig cold wallet, vagyis többszörös aláírást igénylő hideg tárca, az egyik legbiztonságosabb kriptotárolási forma. A hot wallet-ekkel ellentétben ezek offline maradnak, így nehezebben férhetnek hozzá a támadók. A multisig tovább növeli a biztonságot azáltal, hogy több személy jóváhagyása szükséges a tranzakciókhoz.
A Bybit ennek megfelelően csak a legszükségesebb összegeket tartotta hot wallet-ben, a többit multisig cold wallet-ben őrizte. Az ilyen tárcákból való pénzmozgatáshoz több magas beosztású munkatárs aláírása kellett.
Az első elméletek szerint a Safe nevű szolgáltató cold wallet infrastruktúráját törhették fel, de később kiderült, hogy annak kódja és rendszere érintetlen maradt.
A Bybit végül megállapította, hogy a támadók a smart contract logikáját manipulálták, és a felhasználói felületet álcázták, így úgy szereztek hozzáférést az Ethereum cold wallethez, hogy a riasztórendszerek nem jeleztek.
Pénzmosási technikák
A Lazarus csoport egy jól ismert forgatókönyvet követ:
Az ellopott tokeneket natív blokklánc eszközökre (pl. Ether) cserélik. Ez azért fontos, mert bizonyos tokeneket a kibocsátók befagyaszthatnak, míg az Ether vagy Bitcoin decentralizált, nem korlátozható.
Ezután „rétegzik” a tranzakciókat – vagyis a nyomokat elrejtik. Ez történhet:
- több tárcán keresztül történő mozgatással,
- blokkláncok közötti hidakon át történő váltással,
- különböző kriptókra cseréléssel (DEX, coinswap, stb.),
- privátságot növelő eszközök (pl. Tornado Cash) használatával.
A Bybit elleni támadás után 2 órán belül az ellopott pénz 50 különböző tárcába került, egyenként kb. 10 000 ETH-val. 2025. február 24-én 13:00-kor ezekből a tárcákból már 14,5%-nyi eszközt (kb. 195 millió USD értékben) továbbmozgattak.
A pénzeket különböző szolgáltatásokon keresztül mossák tisztára: DEX-ek, cross-chain hidak és központosított tőzsdék. Az egyik fő eszközük az eXch nevű váltó, amely névtelenül teszi lehetővé az eszközcserét. Bybit kérésére sem blokkolták a tranzakciókat – már több mint 75 millió dollár értékű lopott eszközt kezeltek le.
Az Ether jelenleg Bitcoinná alakul az eXch-en és más platformokon keresztül. Ha a múltbeli mintát követik, a következő lépés a mixerek (pl. Cryptomixer) használata lesz – bár ekkora volumen esetén ez sem egyszerű.
Fejlett támadási technikák
A támadók valószínűleg az alábbi módszereket alkalmazták:
- Platformfüggetlen malware Windowsra és MacOS-re
- Lopakodó hozzáférési mechanizmusok
- Távoli parancsvégrehajtás
- Felhasználói felület manipulálása
- Szociális manipuláció és bizalomépítés
Következtetés
A Lazarus csoport továbbra is a legfejlettebb és legjobban finanszírozott kriptolopással foglalkozó szervezet. Az Elliptic a Bybit, az iparági partnerek és nyomozók segítségével éjjel-nappal dolgozik az ellopott összegek visszaszerzésén, hogy Észak-Korea ne profitálhasson a támadásból.
A Check Point biztonsági szakértői kiemelték: a támadás ismét bebizonyította, hogy az emberi tényező a leggyengébb láncszem. Hiába a fejlett smart contract védelem és a multisig rendszer, ha a szociális manipuláció és a felület megtévesztése sikeres.
Ez az eset figyelmeztetésként szolgál a kriptovilág számára: az evolúcióban lévő fenyegetésekkel szemben már nem elég a hagyományos védelem. Kulcsfontosságú a:
- belső hálózatok szegmentálása,
- többrétegű védekezési stratégia,
- munkatársak képzése a manipuláció felismerésére,
- felkészülés a kifinomult támadásokra.
A Bybit elleni támadás világos jelzés: az éberség, az átfogó biztonsági protokollok és a fenyegetések ismerete elengedhetetlen a túléléshez a digitális pénzügyek világában.
