Die Jagd nach dem Milliardenraub: Der größte Krypto-Überfall Teil 2
Die Aufregung in den Stunden nach der Ankündigung des Milliarden-Dollar-Hacks von Bybit fühlte sich eher wie Tage an. Das Wort verbreitete sich wie ein Lauffeuer in den sozialen Medien: Die Lazarus-Gruppe, das berüchtigte nordkoreanische staatlich unterstützte Hackerkollektiv, stand im Verdacht, den dreisten Diebstahl inszeniert zu haben.
Über Nacht wurde Bybit zum Epizentrum des größten bekannten Krypto-Überfalls in der Geschichte, und die Branche beobachtete jede Bewegung genau.
Für Außenstehende war der Hack sowohl ein technologisches Wunder als auch eine ernüchternde Lektion in Sicherheitslücken. Selbst angesehene Schutzmaßnahmen wie Multi-Signatur-Wallets hatten sich als fehlerhaft erwiesen. Die Angreifer nutzten das Vertrauen aus, indem sie das Gerät eines Signierenden manipulierten, um Transaktionsaufforderungen zu fälschen, während sie im Hintergrund bösartige Befehle ausführten. Diese nahtlose Illusion ermöglichte es den Hackern, über 400.000 ETH, einschließlich gesteckter Derivate, in ihre eigenen Adressen umzuleiten.
Nachdem der Bruch zunächst identifiziert und bestätigt wurde, dass das kompromittierte Wallet auf Bybits Ethereum-Kaltlager beschränkt war, bemühte sich das Sicherheitsteam der Börse, das Ausmaß des Schadens zu verstehen. Während Bybit-CEO Ben Zhou öffentlich auf Social Media ein ruhiges Bild zeichnete, begann die eigentliche Herausforderung hinter den Kulissen erst. Die gestohlenen Gelder waren in Bewegung.
Krypto-Analysefirmen wie Arkham Intelligence, Chainalysis und Nansen kamen in Aktion, um das Labyrinth von Adressen, die mit dem Hack verbunden waren, zu kartieren. Es war, als würde man einer Ameisenkolonie beim Auseinanderstreuen zusehen: Große Überweisungen landeten in neu erstellten Ethereum-Wallets, wurden in kleinere Beträge aufgeteilt und über verschiedene Blockchains, von Polygon über Tron bis hin zur BNB Chain, überführt. Jedes Mal, wenn ein Cluster von Geldern identifiziert wurde, passte sich Lazarus an, konsolidierte und verteilte die Token anderswo.
Mit Hilfe von ausgeklügelten Mixing-Services und Chain-Hopping-Techniken wuschen die Hacker systematisch ihre Beute. Derivate wurden in flüssige ETH umgewandelt, bevor sie in BTC oder Fiatwährung abgeleitet wurden. Verschmutzte Adressen tauchten auf dezentralen Börsen auf, wo Anonymität einen Schutz vor Blacklisting bot. Für Bybits Verfolger war es eine Verfolgungsjagd mit hohem Einsatz, ohne Garantie für eine Ziellinie.
In einer Zusammenarbeit, die die üblichen wettbewerbsübergreifenden Grenzen überwand, begannen Börsen weltweit, Wallets zu sperren, die von ZachXBT und anderen Blockchain-Spezialisten als dem Bybit-Hacker gehörend identifiziert wurden.
„Wir haben gerade 181k USDT eingefroren, die mit dem ByBit-Hack verbunden sind“, schrieb Tether-CEO Paolo Ardoino auf X. „Es mag nicht viel sein, aber es ist ehrliche Arbeit.“
Ebenso versuchten Brückeprotokolle, illegale Ströme daran zu hindern, ihre Netzwerke zu überqueren, einige suspendierten sogar die Front-End-Services, um den Fortschritt der Hacker zu behindern. Dennoch fehlen dezentralen Finanzprotokollen (DeFi) in der Regel Durchsetzungsmechanismen, die Transaktionen mitten im Fluss stoppen können. Sobald die Adressen des Hackers auf einer Plattform blockiert wurden, tauchten sie woanders auf, verwandelten sich im Handumdrehen.
In der Zwischenzeit ging Zhou einen schmalen Grat zwischen Transparenz und Schadensbegrenzung. Während die gesamte Branche zusah, wurde jede Nachricht, die er online veröffentlichte, auf versteckte Bedeutungen oder Anzeichen tieferer Probleme analysiert.
„Ich werde nicht vorgeben, dass dies kein katastrophales Ereignis ist“, sagte er während einer Online-Fragerunde. „Aber wir sind solvent, auch wenn dieser Verlust nicht wiedererlangt wird. Die Börse ist profitabel und gut kapitalisiert. Die Gelder unserer Kunden bleiben unsere oberste Priorität.“
Kritiker und Unterstützer gleichermaßen stellten fest, dass zwar keine direkten Beweise auf eine Zusammenarbeit des Personals hinwiesen, aber Gerüchte kursierten, dass ein Hack dieser Größenordnung Insiderhilfe erforderte. Multi-Signatur-Wallets erfordern mehr als einen privaten Schlüssel, um Gelder zu bewegen, also wie konnten die Geräte mehrerer Unterzeichner alle manipuliert werden, ohne dass ein Insider sie informierte?
Sicherheitsanalysten wiesen auf das etablierte Handbuch der Lazarus-Gruppe für gezieltes Phishing und Trojaner-Infiltration hin. Mitglieder der Gruppe sollen sich unter falschen Identitäten in Krypto- und Fintech-Unternehmen eingeschlichen haben, gelegentlich ihren Weg in Positionen des Vertrauens gefunden haben. Andere argumentierten, dass eine Remote-Kompromittierung, obwohl herausfordernd, immer noch im Bereich des Möglichen für eine so gut finanzierte und erfahrene staatlich unterstützte Gruppe wie Lazarus liegt.
Für Ermittler ist die Suche nach verlorenen digitalen Vermögenswerten ein ewiges Katz-und-Maus-Spiel. Mit jeder Stunde, die vergeht, wird das Netzwerk von Adressen, die die gestohlene Ether speichern, fragmentierter. Selbst wenn die Ermittler sie identifizieren, könnte das erst geschehen, nachdem die Münzen mehrere Mixing-Protokolle durchlaufen haben, als verschiedene Token wieder aufgetaucht sind oder als Bargeld von Intermediären auf der halben Welt abgehoben wurden.
Die Komplexität wurde durch die Tatsache erhöht, dass die Lazarus-Gruppe dafür bekannt war, Testläufe durchzuführen – Infiltrationsmethoden auf kleineren oder mittelgroßen Börsen zu testen, bevor sie zum großen Schlag ausholten. On-Chain-Detektiv ZachXBT stellte fest, dass Adressen, die mit dem Bybit-Hack verbunden waren, mit früheren Lazarus-Aktivitäten bei Phemex und BingX überlappten, was die Beteiligung der Gruppe nachdrücklich untermauerte.
Entschlossen, die Hacker zumindest zu verlangsamen, bot Bybit eine Wiederherstellungsprämie an. Wenn es einer Entität gelingen würde, die gestohlenen Gelder einzufrieren oder wiederherzustellen, würde Bybit 10 % auszahlen, bis zu 140 Millionen Dollar. Aber die Realität ist, dass die Aussichten auf Wiederherstellung in der Regel düster sind; ZachXBT schätzt ein gutes Ergebnis auf 15-30 %.
Wenn sich der Staub legt, steht der Bybit-Hack als deutliche Erinnerung daran, dass selbst die am besten geschützten digitalen Tresore anfällig für ausgeklügelte Angriffsvektoren sind. Während die Ermittler weiterhin die verstreuten Gelder verfolgen, lernt die Kryptowelt eine schmerzhafte Lektion – das Vertrauen in Technologie ist fragil, insbesondere wenn menschliches Versagen beteiligt ist.
Die Milliarden-Dollar-Jagd geht über die bloße Wiederherstellung von Geldern hinaus. Es geht darum, eine Branche zu schützen, die weiterhin ein Hauptziel für diejenigen bleibt, die bereit sind, ihre schwächsten Glieder auszunutzen.
Und wenn Lazarus eine Festung wie Bybit zerstören kann, welche Börse ist wirklich sicher?
