Un recente attacco informatico alla piattaforma di scambio criptovalute Bybit ha messo in evidenza non solo la vulnerabilità dei sistemi di sicurezza, ma anche le reazioni immediate da parte dell’azienda e della sua community. Nei seguenti paragrafi, analizzeremo le dinamiche dell’incidente, la reazione dell’exchange e i successivi sviluppi, incluso il coinvolgimento del gruppo Lazarus.
Analisi dell’attacco: come è avvenuto l’hack
Il cyber attacco a Bybit ha sfruttato un metodo sofisticato di attivazione. Il codice malevolo si attivava solo con transazioni provenienti da indirizzi specifici, compreso quello di Bybit stesso. Questo approccio astuto ha permesso di firmare le transazioni in modo tale da apparire legittime, portandole a essere confermate sulla rete Ethereum senza destare sospetti. Grazie a questa astuzia, l’attaccante è riuscito a svuotare il cold wallet di Bybit, rendendo impossibile qualsiasi intervento tempestivo.
Dopo l’attacco, il CEO Ben Zhou ha comunicato che l’exchange era in grado di rimanere solvibile, nonostante l’ammontare della perdita. Ha rassicurato gli utenti dichiarando che i fondi custoditi erano coperti 1:1, e quindi il patrimonio dell’azienda era al sicuro. Zhou ha anche condiviso tramite un post su X che, sebbene ci fosse stata una violazione del cold wallet, altri portafogli dell’exchange erano rimasti intatti, e che i prelievi rimanevano abilitati.
La risposta della community e il bounty unico
L’attacco ha suscitato una reazione immediata da parte della community di Bybit, che si è mobilitata per contrastare l’azione degli hacker. In risposta a questa emergenza, Bybit ha lanciato un’iniziativa senza precedenti: un “hack bounty” da 140 milioni di dollari, pari al 10% del totale sottratto. Questa ricompensa ha stimolato utenti e hacker etici a collaborare per monitorare i fondi rubati e facilitare il loro recupero.
In aggiunta, Bybit ha avviato una Proof of Reserves tramite la società Hacken. Questo audit ha rivelato che le riserve di ogni asset custodi superavano il 100%, garantendo così gli utenti sull’affidabilità della piattaforma. I fondi complessivi custoditi da Bybit al momento dell’attacco superavano i 65 milioni di dollari, rafforzando la fiducia nel sistema di sicurezza dell’exchange.
Le operazioni del gruppo Lazarus e le strategie di riciclaggio
Dopo che l’analista ZachXBT ha identificato l’hacker collegandolo al noto gruppo Lazarus, è diventato chiaro che il recupero dei fondi rubati sarebbe stata una missione difficile. L’indirizzo del wallet utilizzato per l’attacco, 0x47666fab8bd0ac7003bce3f5c3585383f09486e2, ha iniziato a muovere gli asset meno di un’ora dopo l’attacco. Questi fondi sono stati immediatamente distribuiti a vari indirizzi in modo da mascherare le loro origini.
Tra i primi movimenti, l’hacker ha spostato 1 ETH e circa 90.000 stETH in un altro wallet. Le operazioni hanno proseguito con il trasferimento di 15.000 cmETH in un terzo indirizzo. Poi, una volta consumato gran parte del saldo, il gruppo ha effettuato 40 transazioni da 10.000 ETH ciascuna verso altri wallets, complicando ulteriormente le operazioni di recupero.
Nei giorni seguenti, il gruppo ha continuato a spostare una vasta quantità di fondi su nuovi indirizzi, utilizzando vari servizi e strumenti per ostacolare le indagini. Tra questi ci sono piattaforme di scambio decentralizzate, bridge e persino mixer, tutti impiegati per camuffare le tracce. Con 92 milioni di dollari passati attraverso exchange come eXch, nonostante la negazione di collaborazioni dirette con il gruppo, la facilità di accesso a questi servizi ha reso complesso il recupero dei fondi.
L’intervento delle autorità e le indagini aperte
La situazione ha sollevato allerta anche a livello internazionale. Il Federal Bureau of Investigation statunitense ha identificato la Corea del Nord come responsabile dell’hack, invitando tutte le infrastrutture correlate, come exchange, bridge e società di analisi, a segnalare e bloccare qualsiasi transazione legata agli indirizzi coinvolti nell’attacco. Questa mobilitazione forzata da parte delle autorità dimostra quanto grave sia stata l’incursione nei sistemi di Bybit e la misura in cui la comunità globale delle criptovalute sia sotto costante minaccia da parte di gruppi organizzati altamente specializzati.