Furto da 1,46 miliardi all’exchange Bybit: che è successo

Un attacco sofisticato ha portato al furto di 1,46 miliardi di dollari in criptovalute da un cold wallet ETH appartenente all’exchange Bybit, segnando un nuovo primato negativo nella storia degli attacchi al settore crypto. L’incidente, avvenuto il 21 Febbraio, ha decisamente sollevato interrogativi sulla sicurezza delle infrastrutture di custodia delle criptovalute.

Dettagli dell’attacco

Secondo quanto dichiarato da Bybit, l’attacco si è verificato durante un trasferimento di fondi da un cold wallet multisig ETH a un warm wallet. L’exploit ha coinvolto una manipolazione dell’interfaccia di firma della transazione. In sostanza, l’interfaccia mostrava l’indirizzo corretto del warm wallet, inducendo il sistema a credere che la transazione fosse legittima. Tuttavia, la logica sottostante dello smart contract è stata alterata a insaputa dei firmatari, reindirizzando i fondi verso un indirizzo controllato dall’attaccante.

Questo tipo di attacco è particolarmente insidioso poiché sfrutta la fiducia nei meccanismi di verifica e firma delle transazioni, evidenziando la necessità di controlli di sicurezza a più livelli e di una profonda comprensione del codice degli smart contract coinvolti.

Analisi on-chain e frammentazione dei fondi

L’investigatore crypto ZachXBT ha segnalato che l’attaccante ha già iniziato a frammentare i fondi rubati, spostando 10.000 ETH (circa 30 milioni di dollari al valore attuale) da un totale di circa 401.346 ETH su 48 indirizzi diversi. Questa tecnica è tipica per cercare di offuscare la provenienza dei fondi e rendere più difficile il loro tracciamento.

L’analisi on-chain di questi flussi di fondi è cruciale per identificare eventuali punti di accesso a exchange o servizi che potrebbero portare all’identificazione dell’attaccante o al recupero di parte dei fondi.

In figura mostriamo uno dei trasferimenti più recenti di uno di questi frazionamenti, che sposta gli ETH da ByBit a Chainflip, per la conversione in BTC

Con questo lavoro di “riciclaggio”, si stima che oltre 1,1 milioni di dollari in ETH siano già stati convertiti in Bitcoin.

Implicazioni e paragoni con attacchi precedenti

Questo attacco, per entità del furto, supera di gran lunga il precedente record detenuto dall’attacco al Ronin Network di Axie Infinity nel marzo 2022, in cui furono rubati 620 milioni di dollari. In quel caso, l’FBI attribuì l’attacco a due gruppi di hacker nordcoreani, Lazarus e BlueNorOff.

La portata dell’attacco a Bybit solleva preoccupazioni sulla crescente sofisticazione degli attacchi nel settore crypto e sulla capacità degli exchange di proteggere adeguatamente i propri asset.

Focalizzando l’attenzione dell’azienda ai test di penetrazione periodici, emerge un dettaglio sui programmi di Bug Bounty attualmente attivi, come media, Bybit è quella che offre cifre abbastanza basse anche per la scoperta di vulnerabilità considerate critiche (con appena 4mila dollari). Inutile paragonare queste ricompense, con questo furto, ma neppure con uno dei più economici della storia delle cripto valute.

Chi sono i criminali del gruppo Lazarus

Il gruppo Lazarus è una delle più sofisticate organizzazioni di cybercriminali, noto per le sue operazioni di hacking sponsorizzate dallo stato nordcoreano. Attivo da almeno il 2009, Lazarus ha dimostrato una straordinaria capacità di adattamento, spaziando dagli attacchi contro istituzioni finanziarie – come il celebre furto da 81 milioni di dollari alla Banca Centrale del Bangladesh – fino a operazioni di cyberspionaggio e sabotaggio, come l’attacco a Sony Pictures nel 2014. Utilizza tecniche avanzate di spear phishing, malware su misura e attacchi alla supply chain per compromettere le proprie vittime, prendendo di mira banche, criptovalute, aziende tecnologiche e persino enti governativi. Il gruppo è noto per il suo modus operandi furtivo, che gli permette di operare per lunghi periodi senza essere individuato, rendendolo una minaccia persistente e globale nel panorama della cybersecurity.

Misure di sicurezza e indagini in corso

Bybit ha dichiarato che sta collaborando con esperti di blockchain forensics per indagare sull’incidente. L’exchange ha inoltre rassicurato gli utenti affermando che gli altri cold wallet e i fondi dei clienti sono al sicuro e che le operazioni di scambio non sono state interrotte.

Tuttavia, l’incidente sottolinea l’importanza di implementare misure di sicurezza robuste, tra cui:

• Audit del codice degli smart contract: revisioni approfondite del codice degli smart contract per individuare potenziali vulnerabilità.
• Simulazioni di attacco (penetration testing): test regolari per identificare e correggere falle di sicurezza.
• Monitoraggio continuo delle transazioni: sistemi di allerta in tempo reale per rilevare attività sospette.
• Formazione del personale: aggiornamenti costanti sulla sicurezza per i team coinvolti nella gestione delle chiavi e delle transazioni.
• Procedure di emergenza: piani dettagliati per rispondere rapidamente in caso di incidenti di sicurezza.

Il furto record da Bybit rappresenta un campanello d’allarme per l’intero settore crypto. La complessità dell’attacco evidenzia la necessità di un approccio proattivo alla sicurezza, che combini competenze tecniche, procedure rigorose e una collaborazione efficace tra exchange, esperti di sicurezza e autorità competenti. Il futuro della sicurezza crypto dipende dalla capacità di apprendere da questi incidenti e di implementare misure di protezione sempre più efficaci.