Die Hintergründe des größten Kryptodiebstahls in der Geschichte

Ein kürzlicher Bericht von Mandiant enthüllt, dass nordkoreanische Hacker 1,4 Milliarden Dollar von Bybit gestohlen haben, nachdem sie Safe‘s Mac-Laptop durch ein gefälschtes Aktieninvestitionsprojekt gehackt hatten, das es ihnen ermöglichte, die Sicherheit von Amazon Web Services zu umgehen.

Der Cyberangriff auf Bybit in Höhe von 1,4 Milliarden Dollar gilt als der größte Diebstahl in der Geschichte von Kryptowährungen. Laut Mandiants Untersuchung begann der Angriff mit Malware aus einem gefälschten Aktieninvestitionsprojekt, das den Mac-Laptop von Safe kompromittierte und die Sicherheitsmaßnahmen von Amazon Web Services umging.

Am 6. März veröffentlichte Safe in einem Artikel auf X, dass die nordkoreanische Hackergruppe namens TraderTraitor den Laptop eines Safe{Wallet}-Entwicklers, „Developer1“, kompromittierte und gestohlene AWS-Sitzungstoken verwendete, um die Zwei-Faktor-Authentifizierung zu umgehen.

Laut der Untersuchung von Mandiant ereignete sich der Angriff am 4. Februar, als ein Docker-Projekt – das sich als „Aktieninvestitionssimulator“ ausgab – auf den Mac von Developer1 heruntergeladen wurde. Das Projekt kommunizierte mit einer verdächtigen Domain (getstockprice[.]com), was zur Installation der Malware führte.

Es ist unklar, was Developer1 dazu zwang, die Malware über den Arbeitsplatz herunterzuladen, aber die Untersuchung zeigt, dass ähnliche Social Engineering-Taktiken bereits bei früheren Angriffen der Hackergruppe verwendet wurden.

Der Bericht von Mandiant stellte auch fest, dass die Angreifer die AWS-Zwei-Faktor-Authentifizierung umgingen, indem sie aktive Benutzersitzungstoken übernahmen, höchstwahrscheinlich durch Malware auf Developer1’s Arbeitsplatz. Diese übernommenen Token ermöglichten es den Hackern, auf AWS-Dienste zuzugreifen, ohne die Zwei-Faktor-Authentifizierung zu bestehen. Der Angriff wurde von IP-Adressen aus durchgeführt, die mit einem VPN-Dienst und Sicherheitstools verbunden sind, die für offensive Hacking-Zwecke entwickelt wurden.

„Bestimmte Lücken bei der vollständigen Wiederherstellung bestimmter Aspekte des Angriffs bleiben bestehen, da der Angreifer seine Malware entfernt und die Bash-Historie gelöscht hat, um die Ermittlungsbemühungen zu vereiteln.“
Safe

Als Vorsichtsmaßnahme hat Safe{Wallet} seine Infrastruktur zurückgesetzt und den externen Zugriff eingeschränkt. Es behauptet auch, die Erkennung von bösartigen Transaktionen mit Blockaid, einer Blockchain-Sicherheitsfirma, verbessert zu haben. Laut Safe waren seine Smart Contracts von dem Angriff nicht betroffen.

Die Kryptowährungsbörse Bybit enthüllte Anfang März, dass fast 20% der gestohlenen Gelder nun nicht mehr zurückverfolgbar sind, knapp zwei Wochen nachdem die Börse bei einem hochgradig raffinierten Angriff 1,46 Milliarden Dollar verloren hatte. In einem Beitrag auf X enthüllte Bybit-CEO Ben Zhou, dass rund 77% der gestohlenen Gelder nachverfolgbar sind, aber fast 20% sind durch Mischdienste „verschwunden“.