Napad na Bybit: Lazarus hakerska grupa ukrala 1,5 milijardi dolara u krptovalutama

Objavljeno: 2025-02-27 23:00:00 Autor: Gov - CIRT

U februaru 2025. godine Bybit berza kriptovaluta sa sjedištem u Dubaiju doživjela je veliki bezbjednosni proboj što je rezultiralo krađom od oko 1,5 milijardi dolara u Ethereum-u. FBI je ovu krađu pripisao Lazarus grupi iz sjeverne Koreje poznatoj i kao TradeTraitor, državnoj hakerskoj organizaciji.

Profil napadača prepoznat je po tome da cilja kompanije u Web3 sektoru navodeći žrtve da preuzmu aplikacije za kriptovalute u kojima je instaliran malver kako bi izvršili krađu. Osim toga otkriveno je da je puštan veliki broj kampanja socijalnog inženjeringa koje su imale za cilj da posredstvom lažnih poslovnih ponuda privuku veliki broj potencijalnih žrtava.

Napad se dogodio tokom rutinskog prenosa sredstava iz Bybit-ovog Ethereum „hladnog“ novčanika (Cold Wallet) u „topli“ novčanik (Hot Wallet). Napadači su koristili sofisticirane tehnike maskirajući interfejs za potpisivanje tako da prikazuje ispravnu adresu dok su u isto vrijeme mijenjali osnovnu logiku pametnog ugovora. Ova manipulacija im je omogućila kontrolu nad novčanikom i prebacivanje sredstava na nepoznatu adresu.

Blockchain istražitelji uključujući ZachXBT pratili su ukradena sredstva do Lazarus grupe. Dalja analiza otkrila je povezanost ovog incidenta sa prethodnim napadom na berzu Phemex gdje je ukradeno 69 miliona dolara. Sredstva iz oba napada pronađena su u istom novčaniku što ukazuje da su isti počinioci odgovorni za oba napada.

Kao odgovor na incident Bybit je prijavio napad nadležnim organima i sarađuje sa analitičkim firmama za praćenje blockchaina kako bi identifikovao i blokirao povezane adrese. Ove mjere imaju za cilj da spriječe napadače da likvidiraju ukradenu imovinu putem legalnih tržišta. Ovaj događaj naglašava stalne ranjivosti u ekosistemu kriptovaluta ukazujući na potrebu za unaprijeđenim bezbjednosim mjerama u borbi protiv sve sofisticiranijih sajber prijetnji.

Da bi slični napadi poput ovog mogli bili spriječeni korisnici mogu preduzeti niz preventivnih mjera radi povećanja sigurnosti, kroz nekoliko ključnih koraka:

Za Berze i Kriptoplatforme:

  • Segmentacija fondova – većinu sredstava držati u hladnim novčanicima i minimizirati sredstva u toplim novčanicima.
  • Multisig autentifikacija – koristiti multisig (više potpisa) za autorizaciju transakcija kako bi se smanio rizik od kompromitacija.
  • Poboljšane procedure odobravanja transakcija – uvesti dodatne ručne provjere velikih isplata i AI analitiku za otkrivanje sumnjivih aktivnosti.
  • Redovni sigurnosni auditi – angažovati nezavisne eksperte za reviziju pametnih ugovora, kodova i sigurnosnih protokola.
  • Praćenje on-chain aktivnosti – koristiti blockchain analitiku za praćenje neobičnih transakcija i saradnju sa analitičkim firmama poput Chainanalysis i TRM Labs.
  •  Zero trust pristup – ograničiti pristup kritičnim sistemima čak i zaposlenima koristeći privilegovanu kontrolu pristupa.
  • Obuka zaposlenih – spriječiti phishing i socijalni inženjering napade kroz redovne treninge o bezbjednosti.

Za Korisnike:

  • Koristiti hardverske (hladne) novčanike – čuvati dugoročne investicije offline.
  •  Aktivirati 2FA (dvofaktorsku autentifikaciju) – koristiti google autentifikator umjesto SMS koda koji je podložan SIM swap napadima.
  • Ne koristiti iste lozinke – jaka jedinstvena lozinka za svaku platformu + password manager
  • Oprez pri instalaciji softvera i ekstenzija
  • Provjeriti adrese prije slanja sredstava – nikad ne kopirati adrese nasumično, provjeriti ih ručno i koristiti whitelist opciju.
  • Paziti na phishing napade – ne klikati na sumnjive e-mailove i provjeravati domen berze prije unosa podataka.

 Izvor:Bybit Hack Traced to Safe{Wallet} Supply Chain Attack Exploited by North Korean Hackers