Il 21 febbraio è avvenuto il più grande furto di criptovalute della storia. I cybercriminali nordcoreani del gruppo Lazarus hanno intercettato una transazione effettuata dal’exchange Bybit e rubato 1,5 miliardi di dollari in Ethereum. Safe ha pubblicato ulteriori dettagli sull’accaduto.
Accesso tramite notebook di uno sviluppatore
Bybit è il secondo crypto exchange del mondo, dopo Binance. Il furto delle criptovalute è avvenuto durante una procedura di routine, ovvero il trasferimento dei fondi da un cold wallet ad un hot wallet.
Per confermare la transazione è necessaria l’approvazione tramite firma digitale del CEO di Bybit (Ben Zhou) e altri due dirigenti. Senza saperlo hanno autorizzato il trasferimento di 400.000 Ethereum al wallet dei cybercriminali. Ciò è accaduto perché l’azienda con sede a Dubai utilizza Safe{Wallet} come wallet multisig che, secondo molti esperti, non può gestire miliardi di dollari.
Safe ha pubblicato i risultati preliminari dell’indagine avviata in collaborazione con Mandiant. Il notebook di uno sviluppatore di Bybit è stato compromesso il 4 febbraio tramite ingegneria sociale. I cybercriminali hanno quindi usato l’account AWS dello sviluppatore per accedere allo storage Amazon S3 e sfruttato i token di sessione per aggirare l’autenticazione multi-fattore. Per nascondere l’indirizzo IP hanno usato ExpressVPN.
Come spiega un ricercatore di sicurezza, i cybercriminali hanno successivamente modificato l’interfaccia di Safe{Wallet} per mostrare il vero indirizzo del wallet di Bybit. In realtà, il trasferimento delle criptovalute autorizzato dal CEO e due dirigenti è avvenuto verso il wallet gestito dal gruppo Lazarus.
Ti potrebbe interessare
10 mar 2025