Hacker-Angriff auf Bybit
Hacker-Angriff auf Bybit
Bildquelle: DALL·E

Bybit erlitt Hacker-Angriff: mutmaßlicher Angreifer Lazarus-Group stiehlt 1,5 Mrd. USD

von Antonia Frank Lesezeit: 4 Min.

Am Freitag wurde die Kryptowährungsbörse Bybit Ziel eines Hacker-Angriffs. Lazarus-Group stahl Kryptowährung im Wert von ca. 1,5 Mrd. USD.

Inhalt

Gestern erlitt die Kryptowährungsbörse Bybit, die nach Handelsvolumen zweitgrößte Kryptobörse hinter Binance, einen Hacker-Angriff. Das in Dubai ansässige Unternehmen gab an, der Vorfall habe sich ereignet, als das Unternehmen Gelder von einer Ethereum Cold Wallet auf eine Hot Wallet transferierte. Eine Hot Wallet speichert den Zugriff zu Wallets im Gegensatz zu Cold Wallets in Form von einem Public Key und Private Key online.

Größter Krypto-Raub aller Zeiten

Cybersicherheitsexperten bezeichnen dies als den größten Krypto-Diebstahl, der jemals auf eine zentrale Handelsplattform abzielte. Gemäß einem Bericht von Analyseunternehmens Chainalysis macht der Diebstahl mehr als die Hälfte der gesamten durch Hacks im gesamten Jahr 2024 verlorenen Gelder aus. Laut Tom Robinson, Mitbegründer und Chefwissenschaftler von Elliptic, übertrifft der Hacker-Angriff frühere Diebstähle in diesem Sektor bei weitem. Darunter auch den Hack des Ronin Network im Jahr 2022, bei dem Hacker 615 Millionen Dollar erbeuteten.

Bybit erlitt Hacker-Angriff: mutmaßlicher Angreifer Lazarus-Group vereinnahmte Gelder bereits

Bybit-CEO Ben Zhou bestätigte in einem Post bei X am Freitagmorgen, dass ein Hacker die Kontrolle über eines der Cold-Ethereum-Wallets der Plattform übernommen und dessen gesamten Inhalt an eine nicht identifizierte Adresse übertragen habe. Das Datenanalyseunternehmen Arkham Intelligence bestätigte, dass Bybit kürzlich Abflüsse in Höhe von 1,5 Milliarden Dollar verzeichnete und dass die Hacker die gestohlenen Gelder schnell auf mehrere Wallets übertragen und über verschiedene Plattformen liquidiert haben.

Gemäß einem X-Post von Arkham Intelligence identifizierte der Onchain-Sicherheitsexperte ZachXBT die Lazarus Group als Urheber des 1,5-Milliarden-Dollar-Hacks bei Bybit. Damit sicherte er sich zugleich das von Arkham ausgesetzte Kopfgeld in Höhe von 50.000 ARKM-Token. Zu dem Ergebnis gelangte ZachXBT durch eine „detaillierte Analyse der Testtransaktionen und der verbundenen Wallets, die vor dem Exploit verwendet wurden, sowie mehrere forensische Diagramme und Zeitanalysen“. Er führte aus:

„Lazarus Group hat vor ein paar Minuten eine mit dem BingX-Hack verknüpfte Adresse mit demselben Cluster verknüpft, der nun die Hacks von Bybit, BingX und Phemex in der Kette verbindet“.

Der Blockchain-Datenanbieter Nansen teilte CoinDesk mit, dass die Lazarus-Group als mutmaßlicher Angreifer „zunächst Gelder im Wert von fast 1,5 Milliarden Dollar von der Börse auf ein Haupt-Wallet abgehoben und die Gelder dann auf mehrere andere verteilt hätten“:

„Zunächst wurden die gestohlenen Gelder auf eine primäre Wallet transferiert, das sie dann auf über 40 Wallets verteilte. Die Angreifer wandelten alle stETH, cmETH und mETH in ETH um, bevor sie ETH systematisch in 27-Millionen-Dollar-Schritten auf über 10 weitere Wallets transferierten“.

Vorgehensweise der Hacker

Die Angreifer konnten sich offenbar unautorisiert Zugang zu Bybits Ethereum Cold-Wallet verschaffen. Laut der Website Block-Builders haben die Hacker zunächst die Geräte derjenigen infiziert, die für die Autorisierung von Transaktionen zuständig sind – die sogenannten „multisignature signers“. Dadurch konnten sie die Kontrolle über einen Teil des Genehmigungsprozesses übernehmen. Multisignatur bedeutet, dass mehrere Personen oder Geräte für zusätzliche Sicherheit benötigt werden, um eine Transaktion zu autorisieren.

Mit dem Zugang zu diesen Geräten blendeten die Hacker eine gefälschte Smart-Contract-Oberfläche ein. Das ist so, als würde man den Beteiligten ein manipuliertes Fenster vorhalten, das ihnen vorgaukelt, alles sei normal. Dies ermöglichte es ihnen, eine schadhafte Transaktion zu erstellen, die dann fälschlicherweise genehmigt wurde.

Während eines normalen Transfers – von einer sicheren Cold Wallet (wo Kryptowährungen offline und sicher gespeichert sind) zu einer Hot Wallet (die online und anfälliger für Angriffe ist) – griff dann diese manipulierte Transaktion. Da der Transfer routinemäßig ablief, bemerkte man den Eingriff erst zu spät.

Bybit erlitt Hacker-Angriff: mutmaßlicher Angreifer Lazarus-Group stiehlt 1,5 Mrd. USD
Bybit erlitt Hacker-Angriff: mutmaßlicher Angreifer Lazarus-Group stiehlt 1,5 Mrd. USD

Somit haben sich die Angreifer über infizierte Geräte Zugang zu einem sehr gesicherten Bereich verschafft. Sie nutzten eine gefälschte Oberfläche, um eine schädliche Transaktion zu autorisieren. In der Folge zweigten sie ein Krypto-Guthaben in Höhe von 1,5 Milliarden USD ab.

Ido Ben Natan, CEO des Blockchain-Sicherheitsunternehmens Blockaid resümierte gegenüber CoinDesk:

„Es ist dieselbe Art von Angriff, die beim Einbruch bei Radiant Capital und beim WazirX-Vorfall angewandt wurde. […] Das Problem ist, dass selbst mit den besten Schlüsselverwaltungslösungen heute der Großteil des Signaturprozesses an Softwareschnittstellen delegiert wird, die mit dApps interagieren. Dies schafft eine kritische Schwachstelle – es öffnet die Tür für böswillige Manipulationen des Signaturprozesses, und genau das ist bei diesem Angriff passiert“.

Laut dem Bericht von The Record spekulierte Bybit-CEO Ben Zhou, dass die Quelle der Kompromittierung der Wallet-Anbieter Safe gewesen sein könnte. Bybit nutzte diesen für seine Ethereum Cold Wallet:

„Es könnte sein, dass ein Safe-Server gehackt wurde, aber wir wissen es nicht“.

Safe äußerte hingegen:

„Wir haben keine Beweise gefunden, dass das offizielle Safe-Frontend kompromittiert wurde. Aus Vorsichtsgründen pausiert Safe{Wallet} jedoch vorübergehend bestimmte Funktionen.“

Stellungnahme der Kryptowährungsbörse Bybit

In einer Stellungnahme äußerte Bybit:

„Am 21. Februar 2025, ungefähr um 12:30 Uhr UTC, stellte Bybit während eines routinemäßigen Überweisungsprozesses unbefugte Aktivitäten in einem unserer Ethereum (ETH) Cold Wallets fest. Die Überweisung war Teil einer geplanten Übertragung von ETH von unserem ETH Multisig Cold Wallet zu unserem Hot Wallet. Leider wurde die Transaktion durch einen ausgeklügelten Angriff manipuliert, der die Smart-Contract-Logik veränderte und die Signaturschnittstelle maskierte, wodurch der Angreifer die Kontrolle über das ETH Cold Wallet erlangen konnte. Infolgedessen wurden über 400.000 ETH und stETH im Wert von mehr als 1,5 Milliarden US-Dollar an eine nicht identifizierte Adresse überwiesen.“

Nach Bekanntwerden des Hacks fiel der Kurs von Ethereum um fast 8 %, während Bitcoin etwa 5 % verlor. Bybit-CEO Ben Zhou versuchte, die Ängste der Kunden zu zerstreuen. Er versicherte auf X, dass ihre Vermögenswerte sicher seien:

„Bybit ist zahlungsfähig. Alle Vermögenswerte der Kunden sind 1:1 gedeckt, wir können den Verlust decken“

Auch in der Stellungnahme von Bybit heißt es:

„Wir möchten unseren Benutzern versichern, dass es sich um einen Einzelfall handelte, der nur das ETH Cold Wallet betraf. Alle anderen Cold Wallets und Vermögenswerte, einschließlich BTC, bleiben sicher und die Kundengelder sind nicht betroffen.“

2 Kommentare lesen
Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.