FBI bekrefter at nordkoreanske hackere stjal 1,5 milliarder dollar i Bybit Heist
FBI har offisielt koblet det nylige Bybit-kryptovalutautvekslingshacket til TraderTraitor, en nordkoreansk hackergruppe som antas å være en del av den beryktede Lazarus Group . Tyveriet på 1,5 milliarder dollar, som er blant de største krypto-ranene i historien, understreker Nord-Koreas fortsatte avhengighet av nettkriminalitet for å finansiere sitt regime.
Innholdsfortegnelse
Hvordan Bybit Hack utfoldet seg
Angrepet skjedde 21. februar 2025, da hackere infiltrerte Bybits Ethereum kalde lommebok. Etterforskere slo fast at bruddet stammet fra Safe{Wallet}, en desentralisert varetektsplattform. Hackerne klarte å kompromittere en Safe{Wallet}-utviklers maskin, slik at de kunne injisere ondsinnet kode i en JavaScript-fil.
Det ondsinnede kodeangrepet
Den 19. februar endret angriperne i hemmelighet Safe{Wallet}s JavaScript-kode, og satte scenen for ranet. Den ondsinnede koden forble sovende inntil en legitim transaksjon ble behandlet av Bybit 21. februar. Under transaksjonssigneringsprosessen endret koden mottakeradressen, og omdirigerte pengene til en hackerkontrollert lommebok.
Når tyveriet var fullført, fjernet angriperne raskt den ondsinnede koden, og dekket sporene deres og gjorde oppdagelsen vanskeligere.
FBI bekrefter Lazarus Groups involvering
FBI utstedte et offisielt varsel på onsdag, der de sa at TraderTraitor, en undergruppe av Lazarus, var ansvarlig for angrepet. Byrået har overvåket TraderTraitor siden 2022 på grunn av dets pågående cyberangrep på blokkjede- og kryptovalutaselskaper.
Hvordan den stjålne kryptoen blir vasket
Ifølge FBI blir det stjålne Ethereumet raskt konvertert til Bitcoin og andre virtuelle eiendeler. Hackerne bruker tusenvis av blokkjedeadresser for å skjule bevegelsen av midler før de til slutt konverterer dem til fiat-valuta.
Dette er ikke Lazarus' første store krypto-ran – gruppen var tidligere knyttet til et tyveri på 308 millioner dollar fra Bitcoin.DMM.com og en rekke andre nettkriminalitet.
Bybits innsats for å gjenvinne de stjålne midlene
Bybit, som hevder å være verdens nest største kryptobørs etter handelsvolum, har lansert et bug-bounty-program for å stimulere til gjenoppretting av midler. Programmet tilbyr:
- 5 % av de gjenvunnede midlene til enhver enhet som fryser den stjålne kryptoen.
- 5 % til enkeltpersoner eller team som hjelper til med å spore de stjålne eiendelene.
Nåværende status for gjenopprettingsarbeid
Til tross for denne innsatsen har bare 42 millioner dollar (3 % av de stjålne midlene) blitt frosset så langt. Ytterligere 95 millioner dollar gjenstår "venter på svar" fra forskjellige kryptovalutatjenester, men ingen ekstra midler har blitt gjenvunnet.
Bybit har utbetalt over 4 millioner dollar i dusører til de som hjelper til med å spore og fryse de stjålne eiendelene. Noen kryptotjenester har imidlertid nektet å samarbeide, noe som bremser gjenopprettingsarbeidet.
Bybit forsikrer brukerne om finansiell stabilitet
Midt i bekymringene over det massive tyveriet, har Bybit-sjef Ben Zhou forsikret kundene om at selskapet forblir solvent og at brukereiendeler er fullt ut støttet. "Vi vil ikke stoppe før Lazarus og andre dårlige aktører i bransjen er eliminert," sa Zhou. Han kunngjorde også planer om å åpne Bybits bug bounty-plattform for andre ofre for Lazarus Group i fremtiden.
Kryptokriminalitet på vei opp
Bybit-hakket er bare en del av en større trend innen kryptovalutakriminalitet. En 2025 Crypto Crime Report fra Chainalysis, publisert onsdag, avslørte at kjente krypto-relaterte kriminelle adresser mottok minst 40 milliarder dollar i ulovlige transaksjoner i 2024. Dette tallet forventes å øke til 51 milliarder dollar når alle data er analysert.
Bybit-hacket understreker den økende trusselen fra nordkoreansk nettkriminalitet, spesielt mot kryptovalutaplattformer. Mens innsatsen for å spore og gjenopprette de stjålne midlene fortsetter, fremhever hendelsen det presserende behovet for sterkere sikkerhetstiltak på tvers av blokkjedeindustrien.
Med Lazarus Group og TraderTraitor som fortsatt aktivt retter seg mot kryptoaktiva, må børser og investorer være på vakt og bruke robuste cybersikkerhetsprotokoller for å beskytte mot stadig mer sofistikerte angrep.