Das FBI hat offiziell bestätigt, dass die nordkoreanische Hackergruppe TraderTraitor (auch bekannt als Lazarus und APT38) für den massiven Kryptowährungsdiebstahl von 1,5 Milliarden Dollar bei der Kryptobörse Bybit verantwortlich ist. Der Angriff, der sich am 21. Februar 2025 ereignete, gilt als einer der größten Cybersecurity-Vorfälle in der Geschichte der Kryptowährungsbranche.
Technische Analyse des Sicherheitsvorfalls
Sicherheitsexperten von Sygnia und Verichains haben die komplexe Angriffsmethode aufgedeckt, bei der die Angreifer die Safe{Wallet} Multisig-Plattform kompromittierten. Der Angriff erfolgte durch die gezielte Einschleusung von bösartigem JavaScript-Code in die app.safe.global Schnittstelle. Besonders bemerkenswert war die ausgeklügelte Tarnung des Schadcodes, der nur unter spezifischen Bedingungen aktiviert wurde.
Infiltrationsmethode und Schwachstellenausnutzung
Die forensische Untersuchung ergab, dass die initiale Kompromittierung über eine infizierte Entwickler-Workstation erfolgte, wodurch die Angreifer Zugriff auf den AWS S3 Bucket der Safe{Wallet} Plattform erlangten. Die Bybit-Infrastruktur selbst blieb dabei unversehrt, da der Angriff ausschließlich über das externe Wallet-Management-System erfolgte.
Nachverfolgung der gestohlenen Assets
Nach FBI-Angaben begannen die Hacker unmittelbar nach dem Diebstahl mit der systematischen Umwandlung der entwendeten Assets in Bitcoin und andere Kryptowährungen. Die Ermittler haben 51 Ethereum-Adressen identifiziert, die mit den gestohlenen Mitteln in Verbindung stehen. Krypto-Dienstleister wurden aufgefordert, Transaktionen von diesen Adressen zu blockieren.
Implementierte Sicherheitsmaßnahmen
Als Reaktion auf den Vorfall hat die Safe Ecosystem Foundation eine vollständige Neukonfiguration ihrer Infrastruktur vorgenommen und sämtliche Zugangsdaten erneuert. Diese Maßnahmen zielen darauf ab, die Sicherheitsarchitektur zu stärken und ähnliche Vorfälle in Zukunft zu verhindern.
Der Vorfall unterstreicht die zunehmende Sophistikation von Cyberangriffen im Kryptosektor und die Notwendigkeit erweiterter Sicherheitsmaßnahmen. Krypto-Plattformen wird dringend empfohlen, ihre Sicherheitsprotokolle zu überprüfen, regelmäßige Sicherheitsaudits durchzuführen und Multi-Layer-Sicherheitssysteme zu implementieren. Besonderes Augenmerk sollte dabei auf die Integration und Überwachung von Drittanbieter-Services gelegt werden, da diese oft als Einfallstor für Angreifer dienen.
