La società di analisi blockchain Chainalysis ha spiegato come gli hacker siano riusciti a rubare 1,46 miliardi di dollari dall'exchange di criptovalute Bybit, facendo luce sulle tattiche di riciclaggio utilizzate dal gruppo hacker nordcoreano Lazarus Group.
Il 21 febbraio, Bybit ha subito un grave attacco che ha portato al furto di 1,46 miliardi di dollari in Ether (ETH) e altri token. La piattaforma Blockaid ha definito l'incidente il più grande attacco hacker ai danni di un exchange nella storia delle criptovalute.
Il 24 febbraio, Chainalysis ha pubblicato un report in cui spiega come si è svolto l'attacco. Ha analizzato le tecniche e le procedure utilizzate nell'hack, identificando un "manuale operativo comune" impiegato da molti hacker affiliati alla Corea del Nord. Nello specifico Lazarus Group è riuscito a rubare i fondi utilizzando tattiche di social engineering, e ha successivamente spostato gli asset tramite complesse tecniche di riciclaggio
Grafico che mostra la complessità dei metodi di riciclaggio di Lazarus Group. Fonte: Chainalysis
I dettagli dell'hack di Bybit
Secondo Chainalysis, l'attacco è iniziato con una campagna di phishing mirata ai firmatari dei cold wallet di Bybit. Gli aggressori sono poi riusciti ad accedere all'interfaccia utente di Bybit, permettendo loro di sostituire l'implementation contract del wallet multisignature con una versione malevola. Ciò ha consentito loro di avviare trasferimenti di fondi non autorizzati.
Chainalysis spiega che gli hacker hanno intercettato un trasferimento di routine dal cold wallet di Bybit a un hot wallet. Successivamente, gli aggressori hanno reindirizzato circa 401.000 ETH (1,46 miliardi di dollari) verso i propri indirizzi. I fondi sono stati suddivisi tra vari wallet intermediari, una tattica comune per offuscare la traccia delle transazioni:
"Gli asset rubati sono stati poi spostati attraverso una complessa rete di indirizzi intermediari. Questa dispersione è una tattica comune utilizzata per offuscare le tracce e ostacolare gli sforzi di monitoraggio da parte degli analisti delle blockchain."
Gli hacker hanno convertito parte degli ETH rubati in altri asset, tra cui Bitcoin (BTC) e Dai (DAI). Hanno utilizzato exchange decentralizzati, bridge cross-chain e servizi di swap istantaneo che non richiedono verifiche KYC per trasferire gli asset su diversi network.
Ora i fondi rimangono dormienti su più indirizzi, una strategia spesso adoperata dagli hacker nordcoreani:
"Ritardando le operazioni di riciclaggio, allo scopo di superare il periodo di maggiore sorveglianza che tipicamente segue gli attacchi hacker di alto profilo."
Mentre gli hacker continuano le loro operazioni di riciclaggio, Chainalysis ha sottolineato che la trasparenza intrinseca della blockchain consente alle aziende di cybersecurity di tracciare e monitorare le attività illecite. Chainalysis, grazie alla sua collaborazione con varie entità del settore crypto, ha già aiutato a congelare oltre 40 milioni di dollari dei fondi rubati da Bybit.