Sommario
Il gruppo di hacker nordcoreano Lazarus è stato identificato come il responsabile dell’attacco che ha portato al furto di 1,5 miliardi di dollari in Ethereum dall’exchange Bybit. L’attacco, che rappresenta il più grande furto di criptovalute mai registrato, è stato reso possibile grazie alla compromissione di un computer di uno sviluppatore Safe{Wallet}, un servizio di gestione di portafogli multisig su Ethereum.
L’indagine condotta da Sygnia e Verichains ha rivelato che gli hacker hanno iniettato codice JavaScript malevolo nel sito di Safe{Wallet}, sfruttando una vulnerabilità nelle chiavi di accesso AWS S3 o CloudFront del servizio. Questo codice è stato attivato in modo selettivo, colpendo esclusivamente gli account ad alto valore, come quelli di Bybit, senza essere rilevato dagli utenti comuni.
Il colpo, avvenuto il 21 febbraio 2025, ha permesso ai criminali informatici di intercettare una transazione programmata tra il cold wallet e il hot wallet di Bybit, deviando oltre 400.000 ETH e stETH verso un indirizzo sotto il loro controllo.
Come Lazarus ha compromesso Safe{Wallet} e sottratto 1,5 miliardi di dollari
L’attacco è iniziato con l’infiltrazione nei sistemi di Safe{Wallet}, sfruttando una vulnerabilità nella macchina di uno sviluppatore. Una volta ottenuto l’accesso, gli hacker hanno:
- Compromesso il sito web di Safe{Wallet}, iniettando codice malevolo in JavaScript che si attivava solo in presenza di transazioni di alto valore.
- Monitorato le attività di Bybit, intercettando una transazione programmata dal cold wallet (Ethereum Multisig Cold Wallet) verso il hot wallet.
- Modificato la logica del contratto smart, alterando l’interfaccia di firma della transazione per ingannare il sistema di sicurezza di Bybit.
- Eseguito il trasferimento fraudolento, inviando 400.000 ETH e stETH verso un portafoglio controllato da Lazarus.
Secondo le indagini forensi, il codice malevolo era stato modificato due giorni prima dell’attacco, suggerendo una pianificazione attenta e un’esecuzione altamente sofisticata.
Lazarus e il ruolo della Corea del Nord negli attacchi alle criptovalute
L’attacco a Bybit è solo l’ultimo di una lunga serie di furti attribuiti al gruppo Lazarus, un’unità di cybercriminali sponsorizzata dal regime nordcoreano. Dal 2017, Lazarus ha rubato oltre 6 miliardi di dollari in criptovalute, con 1,34 miliardi sottratti solo nel 2024, secondo le analisi di Chainalysis.
Gli attacchi alle piattaforme crypto hanno un obiettivo ben preciso: finanziare il programma missilistico e nucleare della Corea del Nord. I fondi ottenuti attraverso le criptovalute vengono infatti convertiti in denaro fiat attraverso reti di riciclaggio e mixer blockchain, eludendo le sanzioni internazionali.
L’analisi condotta da TRM Labs ed Elliptic ha identificato connessioni tra il furto su Bybit e altri attacchi precedenti, tra cui quelli ai danni di:
- Phemex ($85 milioni rubati)
- BingX (importo non divulgato)
- Poloniex ($100 milioni rubati)
In ciascun caso, gli hacker hanno spostato parte dei fondi verso gli stessi indirizzi Ethereum, confermando la continuità operativa del gruppo e il suo modus operandi.
Come Bybit ha reagito all’attacco e cosa significa per il settore crypto
Dopo la scoperta del furto, Bybit ha dichiarato di aver ripristinato le proprie riserve di Ethereum e di essere rimasto solvibile, nonostante la perdita di 1,5 miliardi di dollari. Il CEO Ben Zhou ha rassicurato gli utenti, affermando che la piattaforma ha adottato misure di sicurezza più rigorose per evitare attacchi simili in futuro.
Anche Safe{Wallet} ha risposto rapidamente, disabilitando temporaneamente l’integrazione con Ledger e implementando nuove protezioni, tra cui:
- Monitoraggio avanzato delle transazioni
- Controlli più severi sui permessi di accesso
- Rotazione completa delle credenziali di sicurezza
Tuttavia, l’attacco ha sollevato gravi preoccupazioni sulla sicurezza delle infrastrutture crittografiche. Il fatto che Lazarus sia riuscito a compromettere una delle piattaforme multisig più utilizzate nel settore dimostra che le attuali misure di protezione non sono ancora sufficienti a contrastare le minacce avanzate.
Il più grande furto crypto della storia e le implicazioni per il futuro
L’hack di Bybit da parte di Lazarus segna un nuovo record negativo per il settore crypto, evidenziando l’importanza della sicurezza nei portafogli multisig e nelle infrastrutture decentralizzate.
L’attacco ha dimostrato che anche le piattaforme più sicure possono essere vulnerabili, soprattutto quando vengono presi di mira sviluppatori e infrastrutture terze. Questo caso potrebbe spingere gli exchange e le aziende crypto a rafforzare le proprie politiche di sicurezza, adottando nuove strategie per difendersi dagli attacchi sponsorizzati dagli stati-nazione.
Con le criptovalute sempre più nel mirino di gruppi come Lazarus, il settore dovrà evolversi rapidamente per proteggere gli asset digitali e prevenire nuove offensive su larga scala.
