L’FBI ha confermato che il gruppo Lazarus (noto anche come TraderTraitor) è l’autore del furto di criptovalute più grande della storia. I cybercriminali nordcoreani hanno intercettato il trasferimento dei fondi da un cold wallet di Bybit ad un hot wallet. Emergono intanto nuovi dettagli sulla tecnica utilizzata.
Compromessa la piattaforma Safe{Wallet}
L’FBI ha comunicato che gli autori del furto di criptovalute avvenuto il 21 febbraio sono i cybercriminali nordcoreani del gruppo Lazarus, confermando quindi le scoperte di alcuni ricercatori. Per nascondere le tracce delle transazioni sono stati utilizzati migliaia di indirizzi su diverse blockchain.
Una parte della somma in Ethereum è stata convertita in Bitcoin. Lazarus ha iniziato anche a convertire le criptovalute in moneta corrente. L’FBI ha pubblicato 51 indirizzi usati dai cybercriminali e invitato i gestori di nodi RPC, exchange, bridge e servizi DeFi di bloccare le transazioni con o derivanti da indirizzi che il gruppo utilizza per riciclare gli asset rubati.
In base ai primi risultati delle indagini effettuate da Sygnia e Verichains, l’attacco è iniziato con l’accesso all’infrastruttura di Safe{Wallet}, piattaforma e wallet multisig. I cybercriminali hanno compromesso il dispositivo di uno sviluppatore e successivamente un account di Bybit usato per firmare le transazioni.
In dettaglio è stato iniettato un codice JavaScript che ha permesso di dirottare il trasferimento di circa 1,5 miliardi di dollari in Ethereum dal cold wallet multisig di Bybit ad un wallet controllato dai cybercriminali. Due minuti dopo l’esecuzione della transazione, il codice infetto è stato rimosso, ma ovviamente era troppo tardi.
Il team di Safe{Wallet} ha riconfigurato l’intera infrastruttura e resettato tutte le credenziali. Sono state inoltre aggiunte ulteriori misure di sicurezza per la validazione delle transazioni.
Ti potrebbe interessare
27 feb 2025