Un sofisticato 'phishing' per il più grande furto nella storia delle criptovalute: 1,4 miliardi sono volati via dal conto Bybit

Venerdì scorso, il mondo delle criptovalute è passato da uno stato di euforia, dopo che la SEC ha ritirato la causa contro Coinbase , a una profonda depressione. Il settore è nuovamente alle prese con un incubo che lo perseguita da sempre: Bybit, il secondo exchange più grande al mondo per numero di transazioni e con oltre 40 milioni di utenti in tutto il mondo, è stato hackerato. La società ha annunciato che i criminali informatici avevano svuotato il suo cold wallet Ethereum, rubando circa 401 token, per un valore di oltre 1,4 miliardi di dollari all'epoca. Tra gli investitori scoppiò il panico quando si verificò quello che sarebbe diventato il più grande furto di fondi nella storia del settore.

Quello che è successo?

Gli hacker hanno attaccato il cold wallet di Ethereum: detto anche cold wallet , è un sistema senza connessione a Internet che conserva le chiavi di accesso alle criptovalute ed è considerato il più sicuro. Si tratta infatti di un portafoglio multi-firma, che richiede più autorizzazioni per approvare una transazione. Venerdì, i dirigenti dell'azienda hanno trasferito fondi dal loro cold wallet a un hot wallet (che conserva le chiavi in ​​luoghi connessi alla rete) come parte di un processo operativo di routine, che di solito viene eseguito quando è necessaria maggiore liquidità sulla piattaforma.

L' amministratore delegato della piattaforma, Ben Zhou, è stato l'ultimo a convalidare la transazione , ma non quella da lui prevista. Gli aggressori, attraverso un sistema sofisticato, hanno progettato un'interfaccia falsa che replicava perfettamente la piattaforma di gestione del portafoglio utilizzata da Bybit. Questa interfaccia mostrava indirizzi e URL verificati, il che faceva apparire le transazioni legittime. Una volta che i firmatari hanno approvato la transazione, gli hacker hanno dirottato i fondi su un portafoglio sconosciuto. Questo metodo di attacco è stato così efficace che i sistemi di sicurezza di Bybit hanno rilevato le anomalie solo quando era troppo tardi. Una versione estremamente sofisticata del phishing, una tecnica comunemente utilizzata dagli hacker che cercano di ingannare gli utenti tramite il furto di identità per rubare informazioni personali o accedere ad account o password online.

Poco dopo l'attacco, la società di ricerca Arkham Intelligence ha rilevato che i fondi avevano iniziato a essere trasferiti a nuovi indirizzi e venduti. Ad oggi, la collaborazione tra Bybit e altre piattaforme ha portato al blocco e al congelamento di circa 43 milioni di dollari di fondi rubati. Altri vengono riciclati tramite varie tecniche di offuscamento, tra cui il chain hopping , che consiste nel convertire una forma di criptovaluta in un'altra e spostarla su più blockchain: TRM Labs stima che entro domenica sera, 160 milioni di dollari siano stati convogliati attraverso canali illeciti.

Perché Ethereum è più vulnerabile?

La rete Ethereum è molto apprezzata dal settore per la miriade di casi d'uso che offre. Grazie al codice Solidity, infatti, su questa blockchain è possibile creare e sviluppare applicazioni e contratti intelligenti. "Ma questi sono anche un vertice di vulnerabilità di cui gli hacker approfittano", afferma Javier Pastor, direttore della formazione presso Bit2Me.

Adolfo Contreras, consulente strategico di Blockstream, spiega che il problema risiede nei difetti di progettazione di Ethereum. Questa rete utilizza EVM, una macchina virtuale in grado di eseguire un'ampia gamma di istruzioni ed eseguire contratti intelligenti. L'esperto ritiene che questo sistema sia molto complesso e generi troppe transazioni diverse che non possono essere "supportate" dall'hardware wallet, un piccolo dispositivo che consente di conservare e proteggere le chiavi private: non ha cioè la capacità sufficiente per interpretare l'enorme numero di transazioni che EVM genera. “La conseguenza è che quando si firma una transazione EVM, se è troppo complessa e il portafoglio non è in grado di interpretarla, viene effettuata una firma cieca . "Sul piccolo schermo del dispositivo vedi una sequenza alfanumerica e sostanzialmente firmi tutto ciò che appare", spiega.

Cosa ha fatto l'azienda?

Alle 16:51 di venerdì, l'azienda ha segnalato l'attacco sui suoi social media. Poco più di un'ora dopo, l'amministratore delegato ha risposto alle domande degli utenti e degli investitori tramite una trasmissione in streaming , comunicando i dettagli dell'attacco e gli aggiornamenti che stavano emergendo. In ogni momento ha assicurato che gli altri portafogli erano al sicuro e non erano stati toccati: " Bybit è solvente. Anche se questa perdita non venisse recuperata , tutti i beni dei clienti sono coperti da una garanzia di 1 a 1 e noi possiamo coprire la perdita", ha aggiunto.

Hanno subito chiesto la collaborazione dell'industria, promettendo di donare il 10% dei fondi rubati a chi li avesse aiutati a recuperarli. Anche altri exchange sono intervenuti, bloccando il portafoglio utilizzato da questo hacker e tutti quelli dove viene inviata una parte dei fondi rubati. "Qualsiasi mossa dell'attaccante che voglia incassare le criptovalute rubate verrà bloccata dall'exchange . Questi portafogli vengono contrassegnati tramite un software che traccia tutti i movimenti dell'hacker, grazie alla blockchain ", spiega Cristina Carrascosa, CEO e fondatrice di ATH21.

Questa mattina, Ben Zhou ha annunciato che Bybit aveva già reintegrato i fondi rubati e aveva nuovamente risorse sufficienti per coprire il 100% dei depositi dei suoi clienti. La società ha affermato di aver rifornito 446,87 unità di Ethereum, per un valore di oltre 1,2 miliardi di dollari ai prezzi correnti, tramite prestiti, depositi da grandi investitori e acquisti diretti del token.

Chi c'è dietro l'attacco?

Società di analisi come Arkham e TRM Labs hanno monitorato i fondi rubati e le loro ricerche hanno individuato il gruppo nordcoreano Lazarus come responsabile dell'attacco informatico. "L'attacco ha seguito il loro noto copione e gli hacker nordcoreani non nascondono le loro tracce perché operano al di fuori della portata delle forze dell'ordine", ha affermato Ari Redbord, direttore globale di politica e affari governativi presso TRM Labs. In un solo giorno, gli hacker nordcoreani hanno quasi raddoppiato la quantità rubata nel 2024: infatti, l'anno scorso sono stati responsabili di circa il 35% di tutti i fondi rubati, pari a circa 800 milioni di dollari in criptovaluta rubata in operazioni ad alto impatto. Uno studio recente di Chainalysis stima che questa cifra sia pari a 1,34 miliardi di dollari in 47 incidenti verificatisi lo scorso anno.

Ci sono stati casi simili?

TRM Labs afferma che gli attacchi ai portafogli caldi e ai contratti intelligenti sono comuni, ma le violazioni dei portafogli freddi su questa scala sono rare. Tuttavia, si sono verificati altri attacchi simili. Contreras nota che quest'ultimo hack gli ricorda l'hack di Parity del 2017: in quell'occasione, gli hacker sfruttarono una vulnerabilità negli smart contract del software , che consentiva la gestione di wallet multi-firma. Gli aggressori hanno preso il controllo di alcuni portafogli e hanno dirottato i fondi : sono scappati con circa 150.000 unità di Ethereum, che all'epoca valevano circa 30 milioni di dollari.

Dopo quest'ultimo incidente, gli esperti ritengono che le piattaforme destineranno maggiori budget alla difesa informatica. Redbord sottolinea che la velocità con cui gli aggressori stanno spostando quella quantità di denaro era inimmaginabile solo un anno fa. "La portata e la velocità di questa operazione di riciclaggio di denaro segnano una pericolosa evoluzione nel modo in cui gli hacker sponsorizzati dallo Stato possono sfruttare l'ecosistema delle criptovalute, sfruttando la tecnologia e le solide reti di riciclaggio di denaro. Ciò indica un’urgente necessità di cooperazione transfrontaliera nell’applicazione della legge”.

Tuttavia, riconoscono l'efficienza della risposta dell'azienda a un incidente di tale portata. “Stiamo parlando di un hack da 1,4 miliardi che non ha creato alcun problema nemmeno alla liquidità dell’exchange . Se ci pensiamo bene, stiamo parlando di una cifra molto elevata e lui potrebbe continuare a operare anche senza quella cifra. “È senza dubbio lo standard a cui aspirano tutti coloro che lavorano in questo settore”, conclude Carrascosa.