Stando alle ultime evidenze on-chain, l'organizzazione nordcoreana di cybercrime Lazarus Group è sospettata di essere responsabile dell'hack di Bybit da 1,4 miliardi di dollari e dell'hack di Phemex da 29 milioni di dollari.
L'hack dell'exchange Bybit del 21 febbraio ha provocato il più grande furto di criptovalute della storia, consentendo agli aggressori di trafugare oltre 1,4 miliardi di dollari in Ether liquid-staked (stETH), ETH Mantle Staked (mETH) e altri token ERC-20.
Gli analisti di sicurezza blockchain, tra cui Arkham Intelligence e l'esperto on-chain ZachXBT, hanno ricondotto l'attacco al Lazarus Group.
Ulteriori riscontri o-nchain consentono di stabilire che gli stessi wallet affiliati al Lazarus Group siano gli artefici dell'hacking di Phemex, avvenuto a gennaio e costato 29 milioni di dollari.
“Lazarus Group ha appena associato l'hack di Bybit a quello di Phemex direttamente on-chain, combinando i fondi provenienti dall'indirizzo iniziale del furto per entrambi gli episodi”, afferma ZachXBT in un post odierno condiviso su X.
Fonte: ZachXBT
Sulla base dei dati on-chain, gli hot wallet di Phemex furono privati di asset digitali per un valore di 29 milioni di dollari mediante oltre 125 transazioni individuali registrate su 11 reti blockchain, finché gli aggressori non iniziarono a convertire i fondi in Ether (ETH) tramite protocolli di mixing di criptovalute come Tornado Cash, rendendoli così difficilmente rintracciabili.
L'hack di Bybit rappresenta da solo più della metà dei 2,3 miliardi di dollari sottratti in hack legati alle criptovalute nel 2024, siglando una significativa battuta d'arresto per il settore.
Secondo Meir Dolev, cofondatore e chief technical officer di Cyvers, l'attacco presenta analogie con l'hack di WazirX da 230 milioni e quello di Radiant Capital da 58 milioni di dollari. Dolev sostiene che il cold wallet multisig di Ethereum sia stato compromesso attraverso una operazione fraudolenta, inducendo i firmatari ad approvare inconsapevolmente una modifica della logica di uno smart contract maligno.
“Sembra che il cold wallet multisig ETH di Bybit sia stato compromesso attraverso una transazione fraudolenta in grado di indurre i firmatari ad approvare inconsapevolmente una modifica della logica di uno smart contract nocivo”.
Ciò ha permesso all'hacker di ottenere il controllo del cold wallet e di trasferire tutti gli ETH a un indirizzo sconosciuto”, racconta Dolev a Cointelegraph.
Lazarus Group coinvolto in alcune delle più grandi frodi di criptovalute
Il gruppo nordcoreano Lazarus è il principale sospettato di alcuni dei più noti atti di hacking, tra cui quello da 600 milioni a Ronin Network e quello da 230 milioni di dollari ai danni dell'exchange WazirX.
Secondo i dati forniti da Chainalysis, nel 2024 gli hacker nordcoreani hanno sottratto oltre 1,34 miliardi di dollari in asset digitali suddivisi in 47 incidenti, con un aumento del 102% rispetto ai 660 milioni di dollari trafugati nel 2023.
Attività di hacking svolte dalla Corea del Nord. Fonte: Chainalysis
Si tratta del 61% del totale delle criptovalute sottratte nel 2024.
Il 14 gennaio gli Stati Uniti, il Giappone e la Corea del Sud hanno emesso un avviso congiunto per mettere in guardia dalla crescente minaccia degli hacker nordcoreani che prendono di mira il settore delle criptovalute.
Nell'ultimo anno, gli hacker nordcoreani sono risultati responsabili dell'hacking di DMM Bitcoin per 305 milioni, dell'attacco di Upbit per 50 milioni, della violazione di Radiant Capital per 50 milioni e del furto ai danni di Rain Management per 16 milioni di dollari, secondo il comunicato congiunto.
La dichiarazione è emersa quasi tre settimane in seguito alla sanzione comminata dalle autorità sudcoreane a 15 nordcoreani per aver presumibilmente ricavato fondi per il programma di sviluppo di armi nucleari della Corea del Nord attraverso colpi agli operatori crypto e crimini informatici.
Traduzione a cura di Walter Rizzo