Ein beispielloser Hack erschütterte die Krypto-Welt: 1,5 Milliarden Dollar wurden Bybit gestohlen. Jetzt führt die Spur der Beute zu einer griechischen Krypto-Börse, was die globalen Ermittlungen verschärft und die dringende Notwendigkeit besserer Sicherheitsmaßnahmen unterstreicht.
Am 21. Februar 2025 erlebte die Kryptowelt einen Schock: Die Börse Bybit wurde Opfer eines spektakulären Cyberangriffs, der der berüchtigten Lazarus Group aus Nordkorea zugeschrieben wird. Gestohlen wurden dabei virtuelle Assets im Wert von etwa 1,5 Milliarden US-Dollar, vornehmlich Ethereum (ETH). Dieser Vorfall markiert einen der größten Hacks in der Geschichte des Internets und unterstreicht die fortwährenden Sicherheitsrisiken im Krypto-Sektor, denen sich auch etablierte Plattformen gegenübersehen.
Der Angriff nutzte Schwachstellen in Bybits ETH-Cold-Wallet-Infrastruktur aus. Angreifer manipulierten eine Wallet-Signatur, um Bybit zur Genehmigung einer Transaktion zu verleiten, die die Smart-Contract-Logik des Cold-Wallets änderte. Diese Transaktion wurde geschickt getarnt, was den Angreifern volle Kontrolle verschaffte und die Übertragung aller ETH auf ein unbekanntes Konto ermöglichte. Solch komplexe Exploits verdeutlichen die Raffinesse der Angreifer.
Die unmittelbaren Auswirkungen auf den Markt waren drastisch. Der Ethereum-Preis fiel um 24%, und Bitcoin rutschte unter 90.000 US-Dollar. Dies löste Panik unter Anlegern aus und verstärkte den regulatorischen Druck auf die Sicherheitsstandards von Krypto-Börsen. Es zeigt, wie schnell Marktvertrauen erodieren kann, wenn die Sicherheit kompromittiert wird.
„Die schnelle und effiziente Geldwäsche deutet darauf hin, dass Nordkorea seine Geldwäschinfrastruktur erweitert hat oder dass unterirdische Finanznetzwerke… ihre Fähigkeit, illegale Mittel zu absorbieren und zu verarbeiten, verbessert haben.“
Die Angreifer, identifiziert als Teil der „TraderTraitor“-Gruppe, zeigten eine hochkomplexe Geldwäschestrategie. Innerhalb von 48 Stunden wurden über 160 Millionen US-Dollar durch illegale Kanäle geschleust, bis zum 26. Februar bereits über 400 Millionen US-Dollar. Die Geldwäsche umfasste Transfers über multiple Zwischenwallets, Umwandlungen in andere Kryptowährungen und den Einsatz dezentraler Börsen und Cross-Chain-Brücken zur Verschleierung. Diese Geschwindigkeit ist alarmierend.
In einer neuen Wendung wurden große ETH-Summen auf ein Konto einer griechischen Krypto-Börse übertragen. Griechische Behörden nahmen sofort Ermittlungen auf, um Herkunft und Empfänger zu klären. Die Identität des Empfängers ist unbekannt, was Spekulationen nährt, ob es sich um einen Zwischenhändler oder eine direkte Verbindung zu den nordkoreanischen Angreifern handelt. Die enge Zusammenarbeit mit internationalen Partnern wie dem FBI ist entscheidend.
Das FBI hat eine öffentliche Warnung herausgegeben, in der es Unternehmen des Privatsektors, darunter RPC-Node-Operatoren, Börsen und Blockchain-Analysefirmen, auffordert, Transaktionen mit den von „TraderTraitor“ genutzten Adressen zu blockieren. Firmen wie TRM Labs haben ebenfalls kompromittierte Adressen identifiziert und markiert. Solche koordinierten Maßnahmen sind unerlässlich, um die Geldwäscheaktivitäten der Angreifer zu untergraben und die Integrität des Kryptomarktes zu schützen. 1
„Der Bybit-Hack ist ein dringender Weckruf für die Krypto-Industrie und die zuständigen Behörden. Die Fähigkeit der Angreifer, solche großen Summen zu stehlen und sie so schnell zu waschen, stellt eine erhebliche Herausforderung dar.“
Der Bybit-Hack unterstreicht die Notwendigkeit robuster Sicherheitsinfrastrukturen. Bybit selbst hat schnell reagiert, die Sicherheit verstärkt und sichergestellt, dass andere Cold-Wallets sicher sind. Dies half, das Vertrauen der Nutzer zu wahren. Die internationale Zusammenarbeit und fortschrittliche Sicherheitsmaßnahmen sind essentiell, um zukünftige Angriffe zu verhindern und die Sicherheit und Integrität des globalen Finanzsystems zu gewährleisten.
