SG.hu
Hatalmas pofon a kriptovilágnak Észak-Korea 1,5 milliárd dolláros lopása
Ahogy múlt pénteken elkezdtek terjedni a hírek a Bybit kriptotőzsdét ért hatalmas hackelésről, a kiberbiztonsági kutatók gyorsan arra a következtetésre jutottak, hogy az óriási digitális eszközrablások kora új és potenciálisan romboló szakaszba lépett. Nem csak a támadás mérete miatt, mert közel 1,5 milliárd dollárral messze ez volt az eddigi legnagyobb, hanem mert órákon belül világossá vált, hogy a támadás - amelyet az FBI az észak-koreai Lazarus Groupnak tulajdonít - sokkal ambiciózusabb és nehezebben megelőzhető volt, mint bármelyik korábbi.
A legaggasztóbb talán az, hogy a hackereknek sikerült lemeríteniük egy úgynevezett „hideg” kriptotárcát, egy olyan hardvereszközt, amelyet a pénzeszközökhöz való hozzáféréshez szükséges privát kulcs tárolására használnak. Az ilyen tárcákat többnyire az online hálózatoktól elszigetelten tartják, ezért eddig úgy vélték, hogy szinte áthatolhatatlanok a támadásokkal szemben. A több mint egy tucatnyi vezetővel és biztonsági szakértővel készített interjúk szerint az iparágra és az azt szabályozó, születőben lévő szabályozásra gyakorolt hatás messzemenő. Az észak-koreai lopások elhárításához valószínűleg sokkal nagyobb kiadásokra lesz szükség a kriptotőzsdék részéről, szigorúbb szabályozásokra és a kormányok közötti fokozott koordinációra.
"Ez a hack megdönti azt a mítoszt, hogy a hideg tárcák áthatolhatatlanok” - mondta Angela Ang, a TRM Labs blokklánc-intelligencia cég egyik vezetője. „A tőzsdéknek újra kell gondolniuk a biztonságot és meg kell erősíteniük a védelmüket.” A Bybit - az egyik legnagyobb kriptotőzsde - kénytelen volt kölcsönkérni más platformoktól és saját kincstári pénzeszközeit felhasználni az ellopott nagyjából 515 000 token - főként Ether, de egyéb származékai is - pótlására. A nyugalom helyreállítására tett erőfeszítései nem akadályozták meg az ügyfeleket abban, hogy a támadást követő két napon belül mintegy 4 milliárd dollárt vonjanak ki a platformról. "A Bybit sikeresen helyreállította a kezelt vagyon 77%-át a baleset előtti szintre” - közölte a vállalat.
A nyugati kormányok azzal vádolják az észak-koreai államot, hogy számos hackercsoportot támogat, és a gazdaságilag elszigetelt ország a kiberbűnözést használja arra, hogy pénzt szerezzen fegyverprogramjai finanszírozására. A Lazarus Group néven ismert hackercsoport története 2007-re nyúlik vissza, és az ország egyik elsődleges hírszerző ügynökségének, a Reconnaissance General Bureau-nak a kiberműveleti részlege irányítja. Az észak-koreai kötődésű hackerek által elkövetett kriptolopások tavaly több mint kétszeresére, 1,34 milliárd dollárra nőttek, ami a Chainalysis kutató szerint a világszerte eltulajdonított teljes összeg mintegy 60%-át teszi ki. A Bybit hackelése azt jelenti, hogy a rezsimnek tulajdonított exploitok már 2025-ben meghaladják ezt az összeget.
"Ez a támadás azt mutatja, hogy még a komoly és szorgalmas csapatoknak is - a Bybit biztosan az - rendkívül kemény környezettel kell szembenézniük. A ragadozók szó szerint nemzetállami szereplők” - mondta Mitchell Amador, az Immunefi kriptobiztonsági cég vezérigazgatója. "Végtelen idővel, türelemmel és erőforrásokkal rendelkeznek, és csak egyszer kell nyerniük."
Ben Zhou, a ByBit vezérigazgatója
A Bybit ügyvezető igazgatója, Helen Liu éppen vacsorázni ült le a szüleivel Dubajban, ahol a tőzsde székhelye van, amikor Ben Zhou vezérigazgató felhívta, hogy beszámoljon neki a hackelésről. Elindult az irodába, és egész éjjel dolgozott, egy ponton egyszerre három különböző hívással zsonglőrködött. "Miután hazajöttem, aludtam egy kicsit” - mondta egy interjúban. „De a vezérigazgatónk, a pénztárcákkal foglalkozó mérnökeink és a pénzt nyomon követő csapat két-három napig nem aludtak.”
A Bybitből elvett tokeneket egy több digitális aláírással ellátott hideg tárcában tartották, ami azt jelenti, hogy három felhatalmazással rendelkező személynek, köztük Zhou-nak is alá kellett írnia a pénzmozgást. A kutatók szerint a több aláírással ellátott hideg tárcák régóta elég biztonságosnak számítanak, és széles körben használatosak a kriptotőzsdék körében. Bár a támadás pontos lefolyásáról szóló beszámolók némileg eltérnek, úgy tűnik, hogy a hackerek a Safe Wallet, a Bybit kriptotárca szolgáltató egyik alkalmazottjának számítógépét vették célba. "Amit a hackerek tettek, az egyfajta rajtaütés volt” - mondta Shahar Madar, a Fireblocks letéti megoldásokat nyújtó cég biztonsági és bizalmi alelnöke. "Egy létező folyamatot használtak fel.”
Dan Hughes, a Radix blokklánc alapítója szerint bizonyos mértékig a több aláírással ellátott tárcák vélt feltörhetetlensége hamis biztonságérzetet keltett az aláírókban. A támadás egy másik kellemetlen igazságot is aláhúzott: a kriptoipar minden állítása ellenére, miszerint egy átlátható ökoszisztémát hoztak létre, ahol a blokkláncok automatizált szoftveres szerződések segítségével lépnek kapcsolatba egymással, a kritikus pontokon még mindig emberi ítélőképességtől függenek. Az embereket pedig be lehet csapni.
Az észak-koreai hackerek különösen ügyesen használják ki ezt a sebezhetőséget az ágazatot ért úgynevezett social engineering támadások révén - közölte az FBI. A Bybit-rablás során az aláíróknak hamis információkat mutattak be, amelyeket egy rosszindulatú kóddal helyeztek el, elhitetve velük, hogy egy törvényes tranzakciót hagynak jóvá. "Tényleg nincs ötletünk azzal kapcsolatban, hogy a tőzsdék hogyan lesznek képesek megfelelően védekezni ez ellen, és hogyan tudják biztosítani, hogy a használt eszközláncok és a többszörösen aláírt tárcákat használó emberek ne legyenek veszélyeztetve szociálisan vagy fizikailag” - mondta Hughes.
A hackelés egy potenciálisan egzisztenciális kérdésre irányítja a figyelmet egy olyan iparág számára, amely hatalmas győzelmet aratott, amikor Donald Trump januárban visszatért a Fehér Házba, és a kriptoágazat szószólóit kulcspozíciókba helyezte. Az Értékpapír- és Tőzsdefelügyelet, amely Gary Gensler korábbi elnöksége alatt éveken át keményen lépett fel, az elmúlt hetekben több kriptoipari vállalkozással szemben is lezárta a vizsgálatokat.
Miután az észak-koreai hackerek évekig többnyire decentralizált, alacsonyabb biztonsági korlátokkal rendelkező projektek ellen indítottak támadásokat, a központosított tőzsdék ellen fordultak és 2024-ben lecsaptak a japán DMM Bitcoinra és az indiai WazirX-re. A WazirX - India egykor legnagyobb kriptotőzsdéje - a hackertámadás után szerkezetátalakítási kérelmet nyújtott be. A központosított tőzsdék állnak a kriptoökoszisztéma középpontjában, ezek gyakran naponta összesen több százmilliárd dollárnyi kereskedési volument bonyolítanak le. A Bybithez hasonló nagyszabású hackelés hatása messze túlmutathat a tőzsdén és annak ügyfelein. Az éter, a Bitcoin és más kriptopénzek a hack hírére zuhantak, ahogy a legnagyobb tőzsdén jegyzett Coinbase részvényei is.
Az egyre kifinomultabb nemzetállami hackerekkel szemben a kriptotőzsdéknek növelniük kell a biztonsági kiadásokat, és szorosabban együtt kell működniük a kormányokkal, hogy nyomon követhessék és visszaszerezhessék a pénzeszközöket, mielőtt a bűnözők elérhetetlen távolságra kerülnének - mondta Ang a TRM Labs-től. A szabályozó hatóságok valószínűleg újragondolják a szabályaikat arra vonatkozóan, hogy a tőzsdék hogyan kezelik az ügyfelek eszközeit - mondta.
Az a sebesség és ügyesség, amellyel a hackerek mozogtak, miután bejutottak, tovább fokozta a nyugtalanságot. Az eszközöket a tranzakció jóváhagyását követő másodperceken belül kiszivattyúzták a Bybit tárcájából, majd decentralizált tőzsdék és úgynevezett cross-chain hidak segítségével más kriptovalutákká alakították át őket. A Bybit az ellopott kriptókból körülbelül 43 millió dollárt, vagyis a teljes összeg 3%-át tudta visszaszerezni. A cég váltságdíjat ajánlott fel azoknak, akiknek sikerül felkutatniuk és befagyasztaniuk az ellopott tokeneket. Az FBI közleményben terjeszti a hackerekhez köthető blokklánccímek listáját, és arra ösztönzi a kriptoszféra entitásait, hogy blokkolják a hozzájuk kapcsolódó tranzakciókat. "Ennek a pénzmosási műveletnek a puszta mérete és sebessége azt mutatja, hogy a kriptobiztonság nem tart lépést a támadókkal” - mondta Ang. "Ez a támadás egy stresszteszt volt az iparág számára, és nem ment át rajta.”
A legaggasztóbb talán az, hogy a hackereknek sikerült lemeríteniük egy úgynevezett „hideg” kriptotárcát, egy olyan hardvereszközt, amelyet a pénzeszközökhöz való hozzáféréshez szükséges privát kulcs tárolására használnak. Az ilyen tárcákat többnyire az online hálózatoktól elszigetelten tartják, ezért eddig úgy vélték, hogy szinte áthatolhatatlanok a támadásokkal szemben. A több mint egy tucatnyi vezetővel és biztonsági szakértővel készített interjúk szerint az iparágra és az azt szabályozó, születőben lévő szabályozásra gyakorolt hatás messzemenő. Az észak-koreai lopások elhárításához valószínűleg sokkal nagyobb kiadásokra lesz szükség a kriptotőzsdék részéről, szigorúbb szabályozásokra és a kormányok közötti fokozott koordinációra.
"Ez a hack megdönti azt a mítoszt, hogy a hideg tárcák áthatolhatatlanok” - mondta Angela Ang, a TRM Labs blokklánc-intelligencia cég egyik vezetője. „A tőzsdéknek újra kell gondolniuk a biztonságot és meg kell erősíteniük a védelmüket.” A Bybit - az egyik legnagyobb kriptotőzsde - kénytelen volt kölcsönkérni más platformoktól és saját kincstári pénzeszközeit felhasználni az ellopott nagyjából 515 000 token - főként Ether, de egyéb származékai is - pótlására. A nyugalom helyreállítására tett erőfeszítései nem akadályozták meg az ügyfeleket abban, hogy a támadást követő két napon belül mintegy 4 milliárd dollárt vonjanak ki a platformról. "A Bybit sikeresen helyreállította a kezelt vagyon 77%-át a baleset előtti szintre” - közölte a vállalat.
A nyugati kormányok azzal vádolják az észak-koreai államot, hogy számos hackercsoportot támogat, és a gazdaságilag elszigetelt ország a kiberbűnözést használja arra, hogy pénzt szerezzen fegyverprogramjai finanszírozására. A Lazarus Group néven ismert hackercsoport története 2007-re nyúlik vissza, és az ország egyik elsődleges hírszerző ügynökségének, a Reconnaissance General Bureau-nak a kiberműveleti részlege irányítja. Az észak-koreai kötődésű hackerek által elkövetett kriptolopások tavaly több mint kétszeresére, 1,34 milliárd dollárra nőttek, ami a Chainalysis kutató szerint a világszerte eltulajdonított teljes összeg mintegy 60%-át teszi ki. A Bybit hackelése azt jelenti, hogy a rezsimnek tulajdonított exploitok már 2025-ben meghaladják ezt az összeget.
"Ez a támadás azt mutatja, hogy még a komoly és szorgalmas csapatoknak is - a Bybit biztosan az - rendkívül kemény környezettel kell szembenézniük. A ragadozók szó szerint nemzetállami szereplők” - mondta Mitchell Amador, az Immunefi kriptobiztonsági cég vezérigazgatója. "Végtelen idővel, türelemmel és erőforrásokkal rendelkeznek, és csak egyszer kell nyerniük."
Ben Zhou, a ByBit vezérigazgatója
A Bybit ügyvezető igazgatója, Helen Liu éppen vacsorázni ült le a szüleivel Dubajban, ahol a tőzsde székhelye van, amikor Ben Zhou vezérigazgató felhívta, hogy beszámoljon neki a hackelésről. Elindult az irodába, és egész éjjel dolgozott, egy ponton egyszerre három különböző hívással zsonglőrködött. "Miután hazajöttem, aludtam egy kicsit” - mondta egy interjúban. „De a vezérigazgatónk, a pénztárcákkal foglalkozó mérnökeink és a pénzt nyomon követő csapat két-három napig nem aludtak.”
A Bybitből elvett tokeneket egy több digitális aláírással ellátott hideg tárcában tartották, ami azt jelenti, hogy három felhatalmazással rendelkező személynek, köztük Zhou-nak is alá kellett írnia a pénzmozgást. A kutatók szerint a több aláírással ellátott hideg tárcák régóta elég biztonságosnak számítanak, és széles körben használatosak a kriptotőzsdék körében. Bár a támadás pontos lefolyásáról szóló beszámolók némileg eltérnek, úgy tűnik, hogy a hackerek a Safe Wallet, a Bybit kriptotárca szolgáltató egyik alkalmazottjának számítógépét vették célba. "Amit a hackerek tettek, az egyfajta rajtaütés volt” - mondta Shahar Madar, a Fireblocks letéti megoldásokat nyújtó cég biztonsági és bizalmi alelnöke. "Egy létező folyamatot használtak fel.”
Dan Hughes, a Radix blokklánc alapítója szerint bizonyos mértékig a több aláírással ellátott tárcák vélt feltörhetetlensége hamis biztonságérzetet keltett az aláírókban. A támadás egy másik kellemetlen igazságot is aláhúzott: a kriptoipar minden állítása ellenére, miszerint egy átlátható ökoszisztémát hoztak létre, ahol a blokkláncok automatizált szoftveres szerződések segítségével lépnek kapcsolatba egymással, a kritikus pontokon még mindig emberi ítélőképességtől függenek. Az embereket pedig be lehet csapni.
Az észak-koreai hackerek különösen ügyesen használják ki ezt a sebezhetőséget az ágazatot ért úgynevezett social engineering támadások révén - közölte az FBI. A Bybit-rablás során az aláíróknak hamis információkat mutattak be, amelyeket egy rosszindulatú kóddal helyeztek el, elhitetve velük, hogy egy törvényes tranzakciót hagynak jóvá. "Tényleg nincs ötletünk azzal kapcsolatban, hogy a tőzsdék hogyan lesznek képesek megfelelően védekezni ez ellen, és hogyan tudják biztosítani, hogy a használt eszközláncok és a többszörösen aláírt tárcákat használó emberek ne legyenek veszélyeztetve szociálisan vagy fizikailag” - mondta Hughes.
A hackelés egy potenciálisan egzisztenciális kérdésre irányítja a figyelmet egy olyan iparág számára, amely hatalmas győzelmet aratott, amikor Donald Trump januárban visszatért a Fehér Házba, és a kriptoágazat szószólóit kulcspozíciókba helyezte. Az Értékpapír- és Tőzsdefelügyelet, amely Gary Gensler korábbi elnöksége alatt éveken át keményen lépett fel, az elmúlt hetekben több kriptoipari vállalkozással szemben is lezárta a vizsgálatokat.
Miután az észak-koreai hackerek évekig többnyire decentralizált, alacsonyabb biztonsági korlátokkal rendelkező projektek ellen indítottak támadásokat, a központosított tőzsdék ellen fordultak és 2024-ben lecsaptak a japán DMM Bitcoinra és az indiai WazirX-re. A WazirX - India egykor legnagyobb kriptotőzsdéje - a hackertámadás után szerkezetátalakítási kérelmet nyújtott be. A központosított tőzsdék állnak a kriptoökoszisztéma középpontjában, ezek gyakran naponta összesen több százmilliárd dollárnyi kereskedési volument bonyolítanak le. A Bybithez hasonló nagyszabású hackelés hatása messze túlmutathat a tőzsdén és annak ügyfelein. Az éter, a Bitcoin és más kriptopénzek a hack hírére zuhantak, ahogy a legnagyobb tőzsdén jegyzett Coinbase részvényei is.
Az egyre kifinomultabb nemzetállami hackerekkel szemben a kriptotőzsdéknek növelniük kell a biztonsági kiadásokat, és szorosabban együtt kell működniük a kormányokkal, hogy nyomon követhessék és visszaszerezhessék a pénzeszközöket, mielőtt a bűnözők elérhetetlen távolságra kerülnének - mondta Ang a TRM Labs-től. A szabályozó hatóságok valószínűleg újragondolják a szabályaikat arra vonatkozóan, hogy a tőzsdék hogyan kezelik az ügyfelek eszközeit - mondta.
Az a sebesség és ügyesség, amellyel a hackerek mozogtak, miután bejutottak, tovább fokozta a nyugtalanságot. Az eszközöket a tranzakció jóváhagyását követő másodperceken belül kiszivattyúzták a Bybit tárcájából, majd decentralizált tőzsdék és úgynevezett cross-chain hidak segítségével más kriptovalutákká alakították át őket. A Bybit az ellopott kriptókból körülbelül 43 millió dollárt, vagyis a teljes összeg 3%-át tudta visszaszerezni. A cég váltságdíjat ajánlott fel azoknak, akiknek sikerül felkutatniuk és befagyasztaniuk az ellopott tokeneket. Az FBI közleményben terjeszti a hackerekhez köthető blokklánccímek listáját, és arra ösztönzi a kriptoszféra entitásait, hogy blokkolják a hozzájuk kapcsolódó tranzakciókat. "Ennek a pénzmosási műveletnek a puszta mérete és sebessége azt mutatja, hogy a kriptobiztonság nem tart lépést a támadókkal” - mondta Ang. "Ez a támadás egy stresszteszt volt az iparág számára, és nem ment át rajta.”