Sommario
Il mondo delle criptovalute è stato scosso da un colpo senza precedenti: la piattaforma di scambio Bybit ha confermato il furto di 1,46 miliardi di dollari in Ethereum, rendendolo il più grande attacco mai registrato contro un exchange di criptovalute.
L’incidente, descritto come un attacco sofisticato e mirato, ha sfruttato una vulnerabilità nei portafogli freddi (cold wallets) di Bybit, che sono tradizionalmente considerati più sicuri rispetto ai portafogli online.
A rendere ancora più inquietante la situazione è il fatto che l’attacco sembra essere legato al famigerato Lazarus Group, l’APT nordcoreana già responsabile di numerosi colpi miliardari ai danni dell’ecosistema crypto.
L’attacco: come i fondi sono stati sottratti
Il colpo è avvenuto nel momento in cui un portafoglio freddo multisig di Bybit ha eseguito un trasferimento verso un portafoglio “caldo” (warm wallet), utilizzato per le transazioni attive. Tuttavia, questo trasferimento è stato manipolato attraverso un attacco che ha alterato l’interfaccia di firma, mostrando l’indirizzo corretto ma modificando la logica dello smart contract sottostante.
Il risultato? L’hacker è riuscito a prendere il controllo del portafoglio ETH della piattaforma e trasferire l’intero saldo verso un indirizzo sconosciuto, ora sotto osservazione della comunità blockchain.
I dettagli della transazione su Ethereum
L’analisi della transazione incriminata, registrata su Etherscan, conferma che i fondi sono stati spostati in un’unica operazione. Tuttavia, a causa delle misure di sicurezza della piattaforma Etherscan, al momento non è possibile ottenere ulteriori dettagli senza accesso diretto alla blockchain.
Chi c’è dietro? Il Lazarus Group sotto accusa
Secondo le analisi di Elliptic e Arkham Intelligence, il furto porta la firma del Lazarus Group, il collettivo di hacker nordcoreano responsabile di alcune delle più grandi rapine di criptovalute mai registrate.
Il Lazarus Group è noto per attaccare piattaforme centralizzate di scambio di criptovalute e infrastrutture Web3 per finanziare il regime nordcoreano, eludendo le sanzioni internazionali.
Nel 2024, secondo Chainalysis, il gruppo ha sottratto 1,34 miliardi di dollari in 47 attacchi separati, rappresentando oltre il 60% delle criptovalute rubate nell’anno. Questo nuovo furto da 1,46 miliardi di dollari supera persino l’attacco a Ronin Network del 2022, che fino a oggi deteneva il record con 624 milioni di dollari sottratti.
Perché gli attacchi alle criptovalute sono in aumento?
Secondo Mandiant, azienda di sicurezza di proprietà di Google, gli attacchi agli exchange di criptovalute stanno crescendo per diversi motivi:
- Alti guadagni, bassi rischi: Il valore delle criptovalute attira hacker professionisti, spesso supportati da governi o gruppi criminali organizzati.
- Difficoltà di attribuzione: Le transazioni su blockchain sono trasparenti, ma i criminali possono mescolare i fondi attraverso mixers e chain hopping, rendendo difficile rintracciare i veri responsabili.
- Scarsa familiarità con la sicurezza Web3: Molte piattaforme crypto sono vulnerabili a exploit negli smart contract o a errori umani nelle chiavi di sicurezza.
Come risponde Bybit?
Il CEO di Bybit, Ben Zhou, ha rassicurato gli utenti dichiarando che tutti gli altri portafogli freddi della piattaforma sono sicuri. L’azienda ha inoltre avviato un’indagine interna e ha segnalato il furto alle autorità competenti, anche se il recupero dei fondi appare altamente improbabile.
L’azienda sta anche valutando la possibilità di rimborsare gli utenti colpiti, ma al momento non è chiaro quali saranno le ripercussioni finanziarie per la piattaforma.
Lezioni apprese: come proteggere gli asset crypto
Questo attacco evidenzia alcune importanti lezioni di sicurezza per chi opera nel settore delle criptovalute:
- Maggiore attenzione ai processi di firma: L’attacco ha sfruttato una debolezza nel sistema di autenticazione delle transazioni. Le aziende crypto dovrebbero implementare meccanismi di verifica indipendenti prima di eseguire operazioni ad alto valore.
- Segmentazione degli asset: Utilizzare portafogli separati per diverse operazioni può limitare i danni in caso di compromissione di uno di essi.
- Monitoraggio delle transazioni sospette: L’uso di strumenti avanzati di analisi blockchain, come quelli di Elliptic o Chainalysis, può aiutare a rilevare movimenti anomali prima che sia troppo tardi.
- Formazione e consapevolezza: Gli attacchi informatici si basano spesso su errori umani. Formare il personale a riconoscere tecniche di attacco come il phishing o la manipolazione delle interfacce è essenziale per prevenire future violazioni.
Vecchio nuovo campanello d’allarme per l’industria crypto
L’attacco a Bybit non è solo un colpo da record, ma un segnale di allerta per l’intero settore delle criptovalute. Con la crescente sofisticazione degli attacchi e il coinvolgimento delle APT statali come il Lazarus Group, la sicurezza dei portafogli digitali diventa una priorità assoluta per evitare il ripetersi di episodi simili.
L’industria crypto dovrà rispondere con nuovi standard di sicurezza, maggiore trasparenza nei processi di autenticazione e sistemi di prevenzione avanzati, se vuole evitare di perdere ulteriormente la fiducia degli utenti.
