Der Krypto-Börse Bybit wurden Kryptowährungen im Wert von 1,4 Milliarden US-Dollar gestohlen, und die Spuren führen zur nordkoreanischen Hackergruppe Lazarus. Der Krypto-Forensiker ZachXBT deckte Verbindungen zu Lazarus auf, indem er die Gelder zu Walletadressen zurückverfolgte, die bereits in früheren Hacks verwendet wurden. Bybit bestätigte den Angriff und arbeitet mit anderen Börsen zusammen, um die gestohlenen Gelder wiederzuerlangen.
Nach dem Cyberangriff auf die Krypto-Börse Bybit, bei dem Kryptowährungen im Wert von 1,4 Milliarden US-Dollar gestohlen wurden, deutet vieles auf eine Beteiligung der nordkoreanischen Hackergruppe Lazarus hin. Wie BTC-ECHO berichtet, hat der Krypto-Forensiker ZachXBT auf X (ehemals Twitter) Verbindungen zu der Gruppe aufgedeckt. Er identifizierte Walletadressen, die bereits in der Vergangenheit mit Lazarus in Verbindung gebracht wurden und auf welche die Gelder des Bybit-Hacks transferiert wurden. Laut ZachXBT wurden diese Adressen auch beim Angriff auf die Krypto-Börse Phemex im Januar dieses Jahres verwendet. Der Forensiker teilte seine Erkenntnisse mit dem Sicherheitsteam von Bybit.
Die Lazarus-Gruppe ist bekannt für ihre Angriffe auf Krypto-Unternehmen und wird verdächtigt, die erbeuteten Gelder zur Finanzierung des nordkoreanischen Atomwaffenprogramms zu verwenden. Wikipedia zufolge wurde die Gruppe bereits mit zahlreichen Cyberangriffen in Verbindung gebracht, darunter der Angriff auf Sony Pictures im Jahr 2014 und der Diebstahl von 81 Millionen US-Dollar von der Bangladesh Bank im Jahr 2016. Auch Angriffe auf Forschungseinrichtungen und den Energiesektor in Europa, Asien und Nordamerika werden Lazarus zugeschrieben. Die Gruppe verwendet verschiedene Methoden, darunter Malware, Phishing und Social Engineering, um ihre Ziele zu erreichen.
Bybit-CEO Ben Zhou bestätigte den Angriff und erklärte, dass alle ausstehenden Auszahlungen bearbeitet und der Normalbetrieb wiederhergestellt sei. Er versprach Aufklärung und betonte, dass die eigentliche Arbeit jetzt erst beginne. BTC-ECHO berichtet, dass andere Krypto-Börsen ihre Unterstützung bei der Aufklärung angeboten haben. Die Reaktionen auf Zhous Statement waren größtenteils positiv, Nutzer lobten die schnelle Reaktion des Teams.
Der Angriff auf Bybit könnte der größte Hack einer Krypto-Börse in der Geschichte sein. Hauptsächlich wurden Ethereum und stETH von Lido gestohlen. Da die verdächtigen Walletadressen nun auf Blacklists stehen und mit anderen Börsen geteilt wurden, dürfte es für die Angreifer schwierig werden, die Beute in Fiatgeld umzutauschen. IT Boltwise berichtete bereits Ende 2024, dass nordkoreanische Hacker für fast zwei Drittel der gestohlenen Kryptogelder verantwortlich waren und im Jahr 2024 rund 1,34 Milliarden Dollar erbeutet haben.
Der Tagesspiegel berichtete bereits 2017 über die mutmaßliche Beteiligung Nordkoreas an Cyberangriffen, insbesondere im Zusammenhang mit der Erpressersoftware "WannaCry". Damals wurde spekuliert, dass Nordkorea die Angriffe zur Devisenbeschaffung nutzt, um die durch internationale Sanktionen entstandenen finanziellen Engpässe zu überbrücken. Auch der stern berichtete 2022 über die Aktivitäten nordkoreanischer Hacker und beschrieb eine Methode, mit der sie E-Mails mithilfe von Browser-Erweiterungen mitlesen können. Bitcoinblog.de berichtete 2020 über einen Fall, in dem zwei Chinesen angeklagt wurden, Kryptowährungen im Wert von über 100 Millionen Dollar für nordkoreanische Hacker gewaschen zu haben. Dabei wurden manipulierte Selfies mit Ausweisen, unter anderem aus Deutschland, verwendet, um KYC-Prozesse zu umgehen.
