Non tutte le informazioni sono pubbliche, Arkham Intelligence, una società di analisi blockchain, ha concluso che il gruppo Lazarus della Corea del Nord è stato responsabile dell'hacking da 1,46 miliardi di dollari sull'exchange Bybit.
Sulla piattaforma X, Arkham ha offerto una taglia di 50.000 token ARKM, del valore di circa 30.000 dollari, per chiunque riuscisse a identificare gli aggressori responsabili dell'hacking di venerdì. Non molto tempo dopo, Arkham annunciò che il freelance ZachXBT aveva fornito “una prova certa” che dietro l’attacco c’era il gruppo di hacker nordcoreano.
Secondo le informazioni attuali, Lazarus, il gruppo di hacking d'élite della Corea del Nord sponsorizzato dallo stato, ha messo a segno il più grande hack della storia su un exchange di criptovalute centralizzato. L'hacking ha comportato il ritiro di token Ethereum per un totale di circa 1,5 miliardi di dollari. I ricercatori sulla sicurezza di Ethereum stanno cercando di indagare sull'incidente per capire come è avvenuto l'attacco e se l'hacking potrebbe diffondersi ad altri scambi.
Nel giro di pochi giorni, l'entusiasta delle criptovalute ZachXBT ha identificato il gruppo Lazarus come il probabile colpevole. Lazarus è stato responsabile di molti dei principali attacchi alle risorse digitali.
La società blockchain Nansen ha rivelato che gli aggressori hanno prima ritirato i fondi in un unico portafoglio e poi li hanno distribuiti su più portafogli.
"Inizialmente, i fondi rubati venivano trasferiti su un portafoglio primario, che li distribuiva poi su più di 40 portafogli", ha detto Nansen.
"Gli aggressori hanno convertito tutti gli stETH, cmETH e mETH in ETH prima di trasferire sistematicamente ETH in incrementi di 27 milioni di dollari su oltre 10 portafogli aggiuntivi".
Ben Zhou, amministratore delegato di Bybit, ha esortato i clienti a mantenere la calma e ha assicurato loro che l'80% dei fondi è stato recuperato utilizzando prestiti ponte per sostituire il denaro rubato.
Nonostante l’attuale corsa agli sportelli di Bybit, Zhou ha assicurato agli utenti che i prelievi non sarebbero stati bloccati e che i clienti avrebbero avuto accesso ai propri fondi.
Sfruttare i prestiti ponte consente a Zhou di onorare le richieste di prelievo. In questa fase, la restituzione dei token rubati è altamente improbabile.
ZachXBT deve ancora rilasciare tutti i dati che puntano al gruppo Lazarus. Dice che la sua analisi prevedeva il monitoraggio delle connessioni online tra gli indirizzi dei portafogli finché, con l'assistenza di un collega, è stato in grado di restringere il campo dei sospettati al gruppo di hacker nordcoreano. ZachXBT ha trovato una connessione tra i portafogli utilizzati nell'hacking Bybit e i portafogli utilizzati nell'hacking da 85 milioni di dollari dell'exchange Phemex con sede a Singapore.
Almeno in questa fase l'attacco sembra essere causato dal Blind Signing, in cui il contatto intelligente viene approvato senza conoscerne completamente il contenuto.
"Questo vettore di attacco sta rapidamente diventando la forma preferita di attacco informatico utilizzata dagli attori di minacce avanzate, inclusa la Corea del Nord", ha affermato Ido Ben Natan, CEO di Blockaid.
"È lo stesso tipo di attacco utilizzato nella violazione di Radiant Capital e nell'incidente di WazirX."
“Il problema è che anche con le migliori soluzioni di gestione delle chiavi, oggi gran parte del processo di firma è delegato a interfacce software che interagiscono con le dApp”.
"Ciò crea una vulnerabilità critica: apre la porta a una manipolazione dannosa del processo di firma, che è esattamente ciò che è accaduto in questo attacco", ha affermato.
È improbabile che i fondi rubati vengano restituiti perché la Corea del Nord non ha un accordo di estradizione con gli Stati Uniti. Il gruppo di hacker nordcoreano è riuscito a guadagnare più soldi con questo singolo attacco che con tutti gli attacchi dell'anno scorso.
Questo attacco è in contrasto con altri precedenti attacchi su larga scala, come l’hacking Bitfinex del 2016, in quanto le persone dietro questo attacco probabilmente riusciranno a farla franca e molto probabilmente manterranno il denaro rubato.
Ciò dimostra che il sistema giudiziario americano è limitato ai paesi con accordi di estradizione. Sebbene l’America si concentri sul recupero dei fondi perduti attraverso le tasse, non c’è molto che possano fare contro gli attacchi informatici su larga scala.
Tom Robinson, capo scienziato di Elliptic, ha descritto l'attacco come "il più grande furto di criptovalute di tutti i tempi".
“Il prossimo furto di criptovalute più grande sarebbe quello dei 611 milioni di dollari rubati a Poly Network nel 2021. In effetti potrebbe addirittura essere il più grande furto singolo di tutti i tempi”.
Sembra che Bybit stia elaborando bene i prelievi dopo l'hacking", ha scritto il dirigente di Coinbase Conor Grogan. Hanno più di 20 miliardi di dollari in asset sulla piattaforma e i loro portafogli freddi sono intatti.
"Data la natura isolata dell'hacking della firma e la buona capitalizzazione di Bybit, non mi aspetto che ci sia un contagio."
“Un minuto dopo l’inizio del fallimento di FTX era chiaro che non avevano fondi da prelevare. So che tutti soffrono di disturbo da stress post-traumatico, ma Bybit non è una situazione FTX, se lo fosse lo griderei. Staranno bene”.
La storia del gruppo Lazarus può essere fatta risalire al 2017, quando hanno violato gli scambi della Corea del Sud e rubato oltre 200 milioni di dollari in Bitcoin. Le rapine alle banche di criptovalute sembrano essere qui per restare e dovranno essere un obiettivo importante nel settore delle criptovalute.