Hafta sonu, blockchain güvenlik şirketleri ve uzmanları, Kuzey Kore’nin Lazarus hackleme grubunu kripto para birimi Bybit’ten 1,5 milyar doların üzerinde hırsızlığa bağladı.
Şimdi tarihin en büyük kripto soygunu olarak kabul edilen saldırganlar, Bybit’in soğuk cüzdanlarından birinden sıcak bir cüzdana planlanmış bir fon transferini ele geçirdi ve kripto varlıklarını kontrolleri altındaki bir blockchain adresine yönlendirdi.
“21 Şubat 2025’te, yaklaşık 12:30 UTC’de, Bybit, rutin bir transfer işlemi sırasında Ethereum (ETH) soğuk cüzdanlarımızdan birinde yetkisiz faaliyet tespit etti. Transfer, ETH’nin çoklu soğuk algınlığımızdan planlanmış bir hareketinin bir parçasıydı. Sıcak cüzdanımıza cüzdan, “Bybit Cuma günü yayınlanan bir ölüm sonrası.
“Ne yazık ki, işlem akıllı sözleşme mantığını değiştiren ve imzalama arayüzünü maskeleyen ve saldırganın ETH soğuk cüzdanını kontrol etmesini sağlayan sofistike bir saldırı ile manipüle edildi. Sonuç olarak, 1,5 milyar dolardan fazla olan 400.000’den fazla ETH ve Steth tanımlanamayan bir adrese aktarıldı. “
Bu, 1.5 milyar doların üzerinde ETH ve Steth’in çalınmasına yol açarken, Bybit, olay açıklandıktan sonra 580.000 para çekme talebinin büyük bir dalgasına rağmen hizmetlerinin büyük ölçüde etkilenmediğini söyledi. Ayrıca, diğer tüm soğuk cüzdanların ve varlıkların güvenli kaldığını da sözlerine ekledi.
Kripto borsası o zamandan beri ETH rezervlerini geri yükledi ve şirketin CEO’su, kayıp varlıklar tam olarak kurtarılmasa bile Bybit’in çözücü olduğunu söylüyor.
Lazarus Hackers ile bağlantılı Bybit Crypto-Heist
Saldırıdan bu yana, kripto sahtekarlığı araştırmacısı Zachxbt, saldırganlar geçen ay Phemex hackinde daha önce kullanılan bir Ethereum adresine çalınan Bybit fonları gönderdikten sonra Bybit hackerları ve meşhur Kuzey Koreli Lazarus tehdit grubu arasındaki bağlantılar keşfetti.
Zachxbt, “Lazarus Grubu, Bybit Hack’i Phemex Hack’e doğrudan zincirli bir fon getirme fonlarını her iki olay için intial hırsızlık adresinden bağladı.” Dedi.
Araştırmacı ayrıca, tehdit aktörlerinin çalınan kripto para birimini yıkamak için pompa eğlence memeleri başlattığını ve takas ettiğini ve Bybit Hack’in fonlarının 920’den fazla blockchain adresine ulaştığını söyledi. Zachxbt ayrıca, Lazarus bilgisayar korsanlarının Bybit Hack’ten çalınan ETH’den çalındığını ve Chainflip aracılığıyla Bitcoin’e fonları köprü kurduğunu iddia etti.
“Exch ekibi, bugün Bybit Hack’ten Lazarus Grubu için 35 milyon dolarlık bir akıştan sonra başka bir borsanın sıcak cüzdanına yanlışlıkla 34 et (96 bin dolar) gönderdi.” Dedi.
Zachxbt’in bulguları, Bybit bilgisayar korsanları tarafından kontrol edilen adresler ve önceki Kuzey Koreli hırsızlıklarına bağlı olanlar arasında gözlemlenen önemli çakışmalara dayanarak, Kuzey Koreli bilgisayar korsanlarının Bybit Hack’in arkasında “yüksek güvenle” belirlenen blockchain istihbarat şirketi TRM Labs tarafından doğrulandı. “
Blockchain analiz şirketi Elliptik, Lazarus hackerlarının, varlıkların gerçek kökenini gizlemek ve izleme girişimlerini yavaşlatmak için çok sayıda kripto para cüzdanı aracılığıyla çalınan fonları zaten hareket ettirdiğini söyledi.
Eliptik kurucu ortağı ve baş bilim adamı Tom Robinson BleepingComputer’a verdiği demeçte, “Özellikle bir borsa, Bybit’in bunu durdurması için çağrılara rağmen, Bybit’in bunu durdurması için çağrılara rağmen, on milyonlarca dolar değerinde on milyonlarca dolar değerinde aktı gibi görünüyor.” “Çalınan varlıklar çoğunlukla Bitcoin’e dönüştürülüyor – eğer daha önce para aklama desenleri takip edilirse, Bitcoin mikserlerinin bir sonraki kullanımını görmeyi bekleyebiliriz – para izini gizlemeye çalışmak.”
Bununla birlikte, Exch, Bybit’ten çalınan para aklama fonlarını reddetti ve “Exch Lazarus/DPRK için para aklamıyor” ve “Bybit Hack’ten gelen fonların önemsiz kısmı sonunda adresimize girdi [..] izole bir dava ve borsamız tarafından işlenen tek kısım, kamu yararına bağışlanacağımız ücretler. “
Aralık ayında, blockchain analizi şirketi Chainalysis, Kuzey Koreli bilgisayar korsanlarının 2024’te 47 kripto soygununda 1.34 milyar dolar çaldığını ve 2022’den önceki 1.1 milyar dolarlık rekorlarını kırdığını söyledi.
Mart 2022’deki tek bir saldırıda, iki Kuzey Koreli hack grubu (Lazarus ve Bluenoroff) Axie Infinity’nin Ronin Ağ Köprüsü’nden kripto para biriminde (173.600 Ethereum ve 25.5m USDC tokenleri) 620 milyon dolar çaldı.