FBI bevestigt dat Lazarus-hackers achter $ 1,5 miljard Bybit-cryptoroof zaten

De FBI heeft bevestigd dat Noord-Koreaanse hackers vrijdag 1,5 miljard dollar hebben gestolen van de cryptobeurs Bybit. Het is de grootste cryptoroof die tot nu toe is geregistreerd.

De FBI moedigde RPC-knooppuntbeheerders, beurzen, bruggen, DeFi-diensten, blockchain-analysebedrijven en andere aanbieders van cryptovalutadiensten ook aan om transacties te blokkeren die afkomstig zijn van adressen die door Noord-Koreaanse hackers worden gebruikt om de gestolen activa wit te wassen.

Vrijdag onderschepte de door de staat gesponsorde hackersgroep (die bekendstaat als TraderTraitor , Lazarus Group en APT38 ) een geplande overdracht van geld van een van Bybit’s cold wallets naar een hot wallet. Vervolgens werd de cryptocurrency doorgestuurd naar een blockchainadres dat onder hun controle stond.

“De Federal Bureau of Investigation (FBI) publiceert deze PSA om te melden dat de Democratische Volksrepubliek Korea (Noord-Korea) verantwoordelijk was voor de diefstal van ongeveer 1,5 miljard dollar aan virtuele activa van de cryptobeurs Bybit, op of rond 21 februari 2025”, aldus de FBI in een openbare aankondiging die woensdag werd uitgegeven.

“TraderTraitor-actoren gaan snel te werk en hebben een deel van de gestolen activa omgezet in Bitcoin en andere virtuele activa verspreid over duizenden adressen op meerdere blockchains. Verwacht wordt dat deze activa verder worden witgewassen en uiteindelijk worden omgezet in fiatgeld.”

Sinds het incident ontdekte cryptofraudeonderzoeker ZachXBT meerdere links naar de beruchte Noord-Koreaanse dreigingsgroep. Dit gebeurde nadat de aanvallers een deel van de gestolen Bybit-fondsen naar een Ethereum-adres stuurden dat werd gebruikt bij de hacks van Phemex , BingX en Poloniex , die eerder in verband werden gebracht met de hackers van de Lazarus Group.

De bevindingen van ZachXBT werden bevestigd door blockchain-analysebedrijf Elliptic en blockchain-intelligentiebedrijf TRM Labs , die meer informatie deelden over de pogingen van de hackers om traceringspogingen te vertragen en “aanzienlijke overlappingen ontdekten tussen adressen die door de Bybit-hackers werden beheerd en adressen die verband hielden met eerdere Noord-Koreaanse diefstallen.”

Woensdag deelde Bybit CEO Ben Zhou ook twee voorlopige post-mortems van het incident van cybersecuritybedrijf Sygnia en financieel beveiligingsbedrijf Verichains, waaruit bleek dat de aanval afkomstig was van infrastructuur die wordt beheerd door het multisig wallet-platform Safe{Wallet} .

De Safe Ecosystem Foundation bevestigde hun bevindingen en onthulde dat de aanval werd uitgevoerd door eerst de computer van een Safe{Wallet}-ontwikkelaar te hacken, die de Noord-Koreaanse hackers toegang gaf tot een account dat werd beheerd door Bybit.

“Uit het forensisch onderzoek naar de gerichte aanval door de Lazarus Group op Bybit is gebleken dat deze aanval op Bybit Safe werd uitgevoerd via een gecompromitteerde Safe{Wallet}-ontwikkelaarsmachine, wat resulteerde in het voorstel voor een vermomde kwaadaardige transactie”, aldus Safe.

De Amerikaanse federale wetshandhavingsinstantie deelde vrijdag ook 51 Ethereum-adressen van mensen die cryptovaluta in hun bezit hadden of nog steeds in hun bezit hadden die van Bybit was gestolen en die in verband werden gebracht met de Lazarus-hackers.

Om de hoeveelheid cryptovaluta die bij de cryptoroof van Bybit is gestolen in perspectief te plaatsen, zei blockchain-analysebedrijf Chainalysis dat Noord-Koreaanse hackers in 47 cryptoroverijen in 2024 1,34 miljard dollar hebben gestolen.

Elliptic meldde vorige week ook dat Noord-Koreaanse criminelen sinds 2017 “meer dan 6 miljard dollar aan cryptovaluta hebben gestolen, waarvan de opbrengst  naar verluidt  is besteed aan het ballistische raketprogramma van het land.”