Közleményben erősítette meg az FBI: állami hátszéllel működő észak-koreai hekkerek rámolták ki pár napja a Bybit kriptotőzsdét. A szövetségi nyomozók a TraderTraitor nevű (ismertebb nevén Lazarus Group vagy APT38) bűnözői csoporthoz kötik a nagyságrendjét tekintve rekordméretű akciót.

Mint a Bitport is megírta, február 21-én jelentős támadás érte a Bybit egyik offline (ún. hideg) walletjét, amiből a hekkerek kb. 1,5 milliárd dollárnyi kriptovalutát el is tudtak utalni. Biztonsági kutatók már a támadás első vizsgálatakor Észak-Koreára gyanakodtak.

Az FBI vizsgálata szerint a rablók gyorsak voltak. Azért, hogy lopott eszközöket (zömében ethert) ne lehessen nyomon követni, jelentős részét átváltották bitcoinra és más kriptovalutákra, majd az összeget több ezer címen szétszórták a blokkláncban. Az összeg valószínűleg még átesik néhány váltáson, hogy a műveletek végén, immár felismerhetetlenül, fiat pénzként kerüljön elő.

A digitális mackósok is hagynak nyomot

A kriptovalutás csalások felderítésére specializálódott ZachXBT azonosított először több olyan, a támadásnál használt célszámlát, amit a Lazarus használt korábbi akcióinál. Hasonló eredményre jutott a londoni Elliptic kiberbiztonsági elemző cég, és a forensic vizsgálatokat végző TRM Labs is.

Két biztonsági cég, a Sygnia és a Verichains már azt is felgöngyölítette, hogy a támadás a Safe {Wallet} nevű pénztárcaplatform-szolgáltató infrastruktúrájából indult ki. (A cég ún. multisig walleteket kínál szolgáltatásként, melyekben csak több aláírás együttes megadásával lehet tranzakciót végrehajtani.) A hekkerek a szolgáltatónál feltörtek egy olyan fejlesztői gépet, amelyen keresztül hozzáfértek a Bybit által üzemeltetett fiókhoz, és onnan már egyszerű volt a dolguk.

Az FBI arra kérte az RPC (remote procedure call) csomópontok, a kriptotőzsdék és a kriptoblokkláchídak üzemeltetőit, a DeFi (decentralised finance) szolgáltatókat stb., hogy blokkoljanak minden tranzakciót, ami a támadásban érintett címekhez kötődik. A nyomozók eddig 51 ethereumos blokklánc-címet azonosítottak egyértelműen. A lista a hatóság közleményében érhető el.