Il furto più grande di criptomonete: 1,5 miliardi di dollari sottratti a Bybit da hacker nordcoreani

Bybit, un exchange di criptovalute, ha subito un attacco informatico senza precedenti e che ha portato al furto di 1,5 miliardi di dollari in Ethereum. Si tratta del furto più grande in criptovalute della storia, dietro al quale sembra celarsi un gruppo di hacker nordcoreano, Lazarus.

Il furto

Un furto è avvenuto grazie all’ingegno dei ladri, che sono riusciti a trovare una vulnerabilità in uno dei processi considerati più sicuri in termini di scambi di criptovalute. La transazione colpita si trovava all’interno di uno scambio tra un portafoglio freddo multisig (cold wallet) di Ethereum di Bybit e un portafoglio caldo (hot wallet). Per capire meglio di cosa si tratta, il portafoglio freddo multisig – cioè multi-firma – è considerato (almeno finora) un sistema molto sicuro, perché opera offline e impiega l’utilizzo di più passaggi per autorizzare le transazioni. Diversamente, un hot wallet è sempre connesso e in genere più vulnerabile. 

A rendere possibile il furto sarebbe proprio la vulnerabilità scoperta dagli aggressori nel corso del processo di firma. Stando a quanto emerso, gli hacker avrebbero manipolato l’interfaccia utilizzata per la transazione, in modo che i firmatari autorizzassero, inconsapevolmente, una transazione malevola. Gli attaccanti hanno così potuto prendere il controllo del portafoglio freddo e trasferire i fondi a un indirizzo di cui è impossibile risalire al proprietario. In totale, sono stati sottratti 401.347 ETH, equivalenti a circa 1,12 miliardi di dollari, oltre a 90.376 stETH (253,16 milioni di dollari), 15.000 cmETH (44,13 milioni di dollari) e 8.000 mETH (23 milioni di dollari). 

Chi c’è dietro l’attacco

A risalire agli attaccanti, Arkham Intelligence, una piattaforma di analisi che si occupa di rendere più trasparenti le transazioni, in particolare di criptovalute. Il suo operato consente di risalire ad hacker, gruppi criminali, grandi investitori o riciclatori di denaro. Lo strumento, in genere utilizzato da investigatori, investitori, governi e aziende, è utilizzato per individuare dunque attività illecite o prevenire attacchi. 

Nel caso dell’attacco a Bybit, Arkham è stata tra le prime piattaforme a tracciare i fondi rubati, che sono stati dispersi velocemente su più portafogli, per renderne difficile il tracciamento. Tuttavia, secondo lo strumento, i responsabili dell’attacco si celerebbero dietro il gruppo Lazarus della Corea del Nord, non nuovo a questi furti.

Sul caso è intervenuto anche ZachXBT, investigatore blockchain indipendente, noto per il suo lavoro nel tracciamento di frodi, hack e attività illecite nel mondo delle criptovalute. Anch’esso è risalito al gruppo Lazarus nordcoreano. 

La risposta di Ben Zhou e Bybit

Bybit si è subito attivata nelle comunicazioni con gli utenti, in particolare su X. In video livestream e nei tweet è intervenuto anche il co-fondatore di Bybit, Ben Zhou. Secondo quanto dichiarato da Zhou, tutti i fondi degli utenti sarebbero al sicuro, con l’exchange pienamente solvibile e che tutto è coperto in rapporto 1:1, cioè  Bybit detiene riserve equivalenti a tutti i fondi depositati dagli utenti. Tuttavia, la stessa piattaforma ha chiesto supporto ad altre realtà nel mondo critpo, alla quale hanno risposto Bitget e Binance. 

Cos’è Lazarus Group

Il gruppo Lazarus è una delle più famigerate organizzazioni di hacker al mondo, ed è ritenuta affiliata al governo della Corea del Nord. I suoi precedenti in attacchi informatici sono una moltitudine e partono da campagne di ransomware fino ad attacchi ad infrastrutture critiche. Secondo gli Stati Uniti il gruppo opera sotto la supervisione del regime nordcoreano e lo scopo dei suoi attacchi sarebbe il finanziamento del programma nucleare del Paese, oltre ad aggirare le sanzioni economiche internazionali. 

Non è la prima volta che il gruppo sottrae criptovalute. Nel 2022 sottrasse 625 milioni di dollari a Ronin Network; nello stesso anno sono riusciti a sottrarre 100 milioni di dollari a Horizon Bridge, con la stessa cifra sottratta l’anno successivo ad Atomic Wallet. Sempre nel 2023, altri 530 milioni di dollari sono stati sottratti alla giapponese CoinCheck. 

Le conseguenze

L’attacco ha portato a ripercussioni nel valore delle criptovalute. Nelle ore successive, Ethereum ha subito una flessione del prezzo di circa il 4%. Difficile invece prevedere cosa accadrà a Bybit. Il danno economico e quello di immagine potrebbero portare ripercussioni importanti. Potrebbe ad esempio essere oggetto di altri attacchi o subire un ingente spostamento di capitali perché non ritenuta abbastanza sicura. Quel che è certo è che l’evento di oggi e il nome di Bybit saranno ricordati, per ora, come l’attacco più grande portato a termine nella storia delle criptovalute.