Nachrichten
Bybit $1,5B Hack erklärt: Wie Hacker auf Cold Wallets zugriffen, ist Ethereum kompromittiert?
token_sale
token_sale
Nehmen Sie am Token-Verkauf des Yellow Networks teil und sichern Sie sich Ihren PlatzJetzt beitreten
token_sale

Bybit $1,5B Hack erklärt: Wie Hacker auf Cold Wallets zugriffen, ist Ethereum kompromittiert?

Bybit $1,5B Hack erklärt: Wie Hacker auf Cold Wallets zugriffen, ist Ethereum kompromittiert?

Im größten Kryptowährungsraubzug bisher verlor die in Seychellen ansässige Börse Bybit am 21. Februar 2025 etwa 1,5 Milliarden Dollar in Ethereum (ETH) aufgrund eines raffinierten Hacks durch nordkoreanisch verbundene Hacker.

Der Behörde, bestätigt durch den Bybit-CEO Ben Zhou, markiert eine bedeutende Eskalation der Cyberkriminalität, die auf die Kryptobranche abzielt, und wirft kritische Fragen zur Sicherheit digitaler Vermögenswerte auf.

Lassen Sie uns versuchen, eine eingehende Analyse des Hacks, der verwendeten technischen Methoden, der Rolle der Blockchain-Analyse, der Beteiligung der Lazarus-Gruppe und der weitreichenden Auswirkungen auf das Kryptowährungsökosystem durchzuführen.

Bybit: Ein Hauptakteur im Kryptomarkt

Bybit, im Jahr 2018 gegründet und mit Hauptsitz in den Seychellen, hat sich als führende Kryptowährungsbörse etabliert, bekannt für ihre hohen Handelsvolumen und ihr vielfältiges Angebot, einschließlich des Kaufs und Verkaufs von Kryptowährungen zu aktuellen Marktpreisen, der Spekulation auf zukünftige Preisbewegungen mit Hebelwirkung und dem Verdienen von Belohnungen durch das Sperren von Geldern zur Unterstützung von Blockchain-Aktivitäten.

Die benutzerfreundliche Schnittstelle der Börse und ihr Ruf für robuste Sicherheitsmaßnahmen, wie z.B. Multi-Signatur (Multi-Sig) Cold Wallets und regelmäßige Sicherheitsprüfungen, zogen eine globale Nutzerbasis an. Dieser Ruf machte den Hack besonders alarmierend, da er Schwachstellen selbst in den vertrauenswürdigsten Plattformen aufdeckte.

Entdeckung des Hacks

Der Hack wurde erstmals durch den On-Chain-Analysten ZachXBT entdeckt, der verdächtige Abflüsse in Höhe von insgesamt 1,46 Milliarden Dollar aus Bybits Wallets um 10:20 Uhr ET am 21. Februar 2025 meldete.

Diese Abflüsse, die 401.347 ETH umfassten, lösten sofort Besorgnis über ein mögliches Sicherheitsleck aus. Innerhalb von 30 Minuten bestätigte Bybit-CEO Ben Zhou den Vorfall in einem Beitrag auf X (ehemals Twitter) und führte den Angriff auf eine "maskierte" Transaktionstechnik zurück, die die Multi-Signatur-Cold-Wallet der Börse während eines routinemäßigen Transfers zu einem Warm Wallet ausgenutzt hatte.

Verständnis von Multi-Signature Cold Wallets und ihrer Sicherheit

Was ist ein Multi-Signature Cold Wallet?

Ein Multi-Signature (Multi-Sig) Cold Wallet ist eine Art von Kryptowährungs-Speicher, der zur Erhöhung der Sicherheit mehrere private Schlüssel erfordert, um eine Transaktion zu autorisieren.

Im Gegensatz zu Single-Key-Wallets, die auf einen Schlüssel angewiesen sind und anfälliger für Diebstahl sind, verteilt ein Multi-Sig-Wallet die Kontrolle auf mehrere Parteien oder Geräte. Ein 2-von-3-Multi-Sig-Wallet erfordert beispielsweise, dass zwei von drei bestimmten Unterzeichnern eine Transaktion genehmigen.

Cold Wallets wiederum sind Offline-Speicherlösungen, das heißt, sie sind nicht mit dem Internet verbunden, was das Risiko von Online-Angriffen wie Hacking oder Phishing verringert.

Die Multi-Sig-Cold-Wallet-Konfiguration von Bybit erforderte Genehmigungen von mehreren Unterzeichnern, eine gängige Praxis, um große Mengen von Kryptowährungen zu schützen.

Bybits Verwendung von Multi-Sig-Cold-Wallets sollte die erheblichen ETH-Bestände schützen und machte den Vorfall besonders überraschend und hob die Raffinesse des Angriffs hervor.

Wie der Hack durchgeführt wurde: Technische Details

Die Angreifer umgingen die Multi-Sig-Sicherheit von Bybit durch eine Kombination aus Social Engineering und fortgeschrittener technischer Manipulation.

Hier ist eine detaillierte Aufschlüsselung des Angriffs:

1. Erstzugriff durch Social Engineering

Die Hacker, die vermutlich zur nordkoreanischen Lazarus-Gruppe gehören, gewannen wahrscheinlich durch fortgeschrittene Phishing-Techniken anfänglichen Zugang, wie z.B.:

  • Spear-Phishing-E-Mails: Zielgerichtete E-Mails, die darauf abzielen, Mitarbeiter oder Unterzeichner dazu zu bringen, Anmeldedaten preiszugeben oder auf bösartige Links zu klicken.
  • Gefälschte Websites: Phishing-Seiten, die echte Bybit-Oberflächen nachahmen, um private Schlüssel oder Seed-Phrasen abzufangen.
  • Malware-Infektion: Der Einsatz von Malware, um die Systeme oder Geräte der Unterzeichner zu kompromittieren.

Diese Social-Engineering-Methoden nutzten menschliches Versagen, eine kritische Schwachstelle selbst in den sichersten Systemen, aus.

2. Transaktionsmanipulation über maskierte Oberfläche

Während eines routinemäßigen Transfers von Bybits ETH-Multi-Sig-Cold-Wallet zu einem Warm Wallet (einem Online-Wallet für schnellere Transaktionen) führten die Angreifer ihren Exploit aus.

Die Hacker veränderten die Signieroberfläche, die benutzerseitige Komponente, an der Unterzeichner Transaktionen genehmigen. Diese Oberfläche wurde manipuliert, um eine legitime Transaktionsadresse anzuzeigen, während sie bösartigen Code in die zugrunde liegende Smart-Contract-Logik einbettete.

Die Unterzeichner, die sich der Manipulation nicht bewusst waren, genehmigten, was wie ein routinemäßiger Transfer erschien. Allerdings enthielt die genehmigte Transaktion bösartigen Code, der die Kontrollmechanismen des Wallets veränderte.

3. Änderung der Smart-Contract-Logik

Der in die Transaktion eingebettete bösartige Code nutzte Schwachstellen im Transaktionsgenehmigungsprozess aus.

Die genehmigte Transaktion änderte die Smart-Contract-Logik und gewährte den Angreifern die Kontrolle über das Wallet. Dies ermöglichte es ihnen, 401.347 ETH an eine nicht identifizierte Adresse unter ihrer Kontrolle zu transferieren.

Der Angriff kompromittierte nicht die Ethereum-Blockchain oder ihre Smart Contracts, sondern nutzte Bybits internen Prozess zur Validierung und Genehmigung von Transaktionen aus.

4. Geldwäsche und Verteilung

Nach Erhalt der Kontrolle über die Gelder verteilten die Angreifer die gestohlenen ETH schnell über mehrere Wallets, um ihre Spur zu verbergen.

Die ETH wurde in Schritten von 1.000 ETH auf über 40 verschiedene Wallets verteilt.

Die Angreifer konvertierten die ETH in andere Kryptowährungen oder Fiat über dezentrale Börsen (DEXs), die nicht die Know-Your-Customer (KYC)-Anforderungen zentraler Börsen haben, was es schwieriger machte, die Gelder einzufrieren oder zurückzuerhalten.

Blockchain-Analyse und Nachverfolgung der Gelder

Blockchain-Analysefirmen spielten eine entscheidende Rolle bei der Verfolgung der gestohlenen Gelder, trotz der Bemühungen der Angreifer, ihre Bewegungen zu verschleiern.

Zu den wichtigsten Firmen und Tools, die beteiligt waren, gehören:

  • Elliptic: Ein Blockchain-Analyseunternehmen, das die gestohlenen ETH bei ihrer Verbreitung und Liquidation verfolgte. Die Software von Elliptic analysiert Transaktionsmuster und Wallet-Adressen, um verdächtige Aktivitäten zu identifizieren.
  • Arkham Intelligence: Ein weiteres Analyseunternehmen, das Echtzeit-Tracking der Gelder bereitstellte und zugehörige Wallets und Transaktionsflüsse identifizierte.
  • MistTrack von Slow Mist: Ein Blockchain-Forensic-Tool, das die Bewegungen der gestohlenen ETH im Ethereum-Netzwerk kartierte. MistTrack kennzeichnete Testtransaktionen und Wallet-Muster, die auf die Techniken der Lazarus-Gruppe hinwiesen.

Trotz dieser Bemühungen machte die Geschwindigkeit und der Umfang der Liquidation die Rückgewinnung schwierig.

Der Einsatz von DEXs und Mixern (Tools, die das Kryptovermögen mischen, um seinen Ursprung zu verschleiern) durch die Angreifer erschwerte den Prozess zusätzlich.

Lazarus-Gruppe: Die Täter hinter dem Hack

Wer ist die Lazarus-Gruppe?

Die Lazarus-Gruppe ist eine nordkoreanische, staatlich geförderte Hacking-Gruppe, die für die Durchführung hochkarätiger Cyberkriminalität, einschließlich Kryptowährungsraub, Ransomware-Angriffe und Spionage, bekannt ist.

Die Gruppe soll unter der Leitung des nordkoreanischen Generalbüros für Aufklärung operieren, mit dem primären Ziel, Einnahmen für das Regime zu generieren.

Beweise, die Lazarus mit dem Bybit-Hack in Verbindung bringen

Blockchain-Analysten, darunter ZachXBT, verbanden den Bybit-Hack anhand mehrerer Indikatoren mit früheren Lazarus-Gruppe-Exploits.

  • Testtransaktionen: Kleine Überweisungen, die vor dem Hauptangriff gesendet wurden, um die Wallet-Funktionalität zu testen, ein Kennzeichen für Lazarus-Taktiken.
  • Zugehörige Wallets: Wallets, die im Bybit-Hack verwendet wurden, waren mit denen verbunden, die an früheren Hacks beteiligt waren, wie z.B. dem Phemex-Exploit.
  • Forensische Diagramme und Timing-Analyse: Muster bei der Timing von Transaktionen und Wallet-Aktivitäten stimmten mit bekannten Lazarus-Verhalten überein.

Lazarus-Gruppe: Bilanz

Die Lazarus-Gruppe hat eine lange Geschichte von Kryptowährungsdiebstählen, mit bemerkenswerten Beispielen einschließlich:

  • Ronin Network-Hack (2022): Es wurden 600 Millionen Dollar in ETH und USDC von der Axie Infinity-Spielplattform gestohlen.
  • Phemex-Hack (2024): Verbunden mit dem Bybit-Hack durch ähnliche Techniken und Wallet-Muster.
  • 2024-Summen: Schätzungen zufolge wurden 1,34 Milliarden Dollar bei 47 Hacks gestohlen, was 61% aller illegalen Kryptotransaktionen in jenem Jahr ausmachte.

Die fortschrittlichen Techniken der Gruppe, wie Zero-Day-Exploits (bisher unbekannte Schwachstellen) und ausgeklügelte Social Engineering Taktiken, machen sie zu einer ernsthaften Bedrohung für die Kryptowährungsbranche.

Auswirkungen auf Ethereum und das Kryptowährungsökosystem

Sicherheit von Ethereum

Trotz des Umfangs des Hacks war Ethereum selbst nicht kompromittiert.

Die Schwachstelle lag in Bybits internen Prozessen und nicht in der Ethereum-Blockchain oder ihren Smart Contracts.

Hier ist der Grund.

Die Ethereum-Blockchain, ein dezentrales Ledger von Transaktionen, blieb sicher. Der Angriff nutzte keine Schwächen im Konsensmechanismus der Blockchain (Proof of Stake) oder ihrem Smart-Contract-System aus.

Der Vorfall stammte aus manipulierten Transaktionsgenehmigungen, was die Risiken menschlicher Prozesse im Kryptowährungsmanagement unterstreicht.

Während der Smart Contract-Code selbst nicht gehackt wurde, wirft die Manipulation des Genehmigungsprozesses durch eine maskierte Oberfläche Bedenken hinsichtlich der Sicherheit von Benutzeroberflächen und Transaktionssignierungsmechanismen in Multi-Sig-Wallets auf.

Breiterer Markteinfluss

Der Hack hatte unmittelbare und weitreichende Auswirkungen auf den Kryptowährungsmarkt.

Die ETH-Preise fielen nach der Bestätigung des Hacks um mehr als 3%, was eine gestiegene Volatilität widerspiegelt.

Der Vorfall fiel mit der ETHDenver Konferenz, einer der größten Ethereum-Ökosystem-Veranstaltungen, zusammen und warf einen bearishen Schatten auf ein Ereignis, das normalerweise positiv für ETH ist.

Der Vorfall unterhöhlte das Vertrauen in zentralisierte Börsen, veranlasste Nutzer zur Frage nach der Sicherheit ihrer Vermögenswerte und führte zu einem gesteigerten Interesse an dezentralen Finanzlösungen (DeFi).

Und natürlich ist die bloße Tatsache, dass der größte Hack während eines Bullenmarktes stattfand, nicht zu vernachlässigen.

Bybits Reaktion und Wiederherstellungsbemühungen

Die schnelle Reaktion von Bybit half, Panik zu mildern und demonstrierte operative Resilienz. Certainly, here is the translated content formatted as requested:

Content: Die Börse bearbeitete nach dem Hack über 580.000 Auszahlungsanforderungen und stellte sicher, dass die Benutzer auf ihre Mittel zugreifen konnten.

Bybit sicherte sich außerdem Überbrückungskredite zur Deckung der Verluste und beruhigte die Benutzer bezüglich seiner Solvenz. Die Börse startete ein Programm, das ethischen Hackern, die bei der Wiederbeschaffung der gestohlenen ETH helfen, bis zu 10% der wiedererlangten Gelder anbietet.

Diese Maßnahmen, obwohl proaktiv, verdeutlichen die Herausforderungen bei der Wiederbeschaffung von Geldern in solch groß angelegten Hacks, insbesondere angesichts der Geldwäschetechniken der Angreifer.

Präventivmaßnahmen für die Zukunft

Um ähnliche Hacks zu vermeiden, empfehlen Experten ein umfassendes Set an Sicherheitsmaßnahmen basierend auf Best Practices der Branche und Erkenntnissen aus dem Bybit-Vorfall.

1. Multi-Faktor-Authentifizierung (MFA)

Erfordern Sie mehrere Ebenen der Überprüfung für Transaktionsgenehmigungen, wie zum Beispiel:

  • Biometrische Authentifizierung: Fingerabdruck oder Gesichtserkennung.
  • Hardware-Token: Physische Geräte, die einmalige Codes erzeugen.
  • Zeitbasierte Einmalpasswörter (TOTP): Apps wie Google Authenticator für temporäre Codes.

2. Sichere Kommunikationskanäle

Verwenden Sie verschlüsselte und verifizierte Kanäle für alle transaktionsbezogenen Kommunikationen, wie:

  • End-zu-End-verschlüsselte E-Mails: Tools wie ProtonMail oder Signal für sichere Nachrichten.
  • Dedizierte sichere Portale: Interne Systeme für Transaktionsgenehmigungen, isoliert von externen Bedrohungen.

3. Regelmäßige Sicherheitsüberprüfungen

Führen Sie häufige Bewertungen und Penetrationstests durch, um Schwachstellen zu identifizieren:

  • Drittanbieter-Audits: Beauftragen Sie renommierte Firmen, um Sicherheitsprotokolle zu überprüfen.
  • Simulierte Angriffe: Testen Sie Systeme gegen Phishing, Malware und soziale Technik-Szenarien.

4. Mitarbeiterschulung

Schulen Sie das Personal darin, Bedrohungen durch soziale Technik zu erkennen, wie:

  • Spear-Phishing-Bewusstsein: Schulen Sie Mitarbeiter darin, verdächtige E-Mails oder Links zu erkennen.
  • Glaubwürdigkeitsbewahrung: Vermeiden Sie das Wiederverwenden von Passwörtern oder das unsichere Speichern von Schlüsseln.

5. Diversifiziertes Asset-Management

Verteilen Sie Gelder auf mehrere Wallets, um das Risiko zu minimieren:

  • Balance zwischen Cold und Hot Wallets: Halten Sie den Großteil der Mittel in Cold Storage, mit minimalen Beträgen in Hot Wallets für täglichen Betrieb.
  • Multi-Sig-Verteilung: Verwenden Sie verschiedene Multi-Sig-Konfigurationen für verschiedene Asset-Pools.

6. Anomalie-Erkennungssysteme

Implementieren Sie Tools zur Erkennung und Alarmierung bei ungewöhnlichen Transaktionsmustern, wie:

  • Maschinelle Lernmodelle: Identifizieren Sie Abweichungen vom normalen Verhalten, wie große Überweisungen zu ungewöhnlichen Zeiten.
  • Echtzeit-Warnungen: Benachrichtigen Sie Sicherheitsteams über verdächtige Ausflüsse.

7. Bleiben Sie über Bedrohungen auf dem Laufenden

Aktualisieren Sie kontinuierlich Sicherheitsmaßnahmen, um aufkommenden Cyber-Bedrohungen entgegenzuwirken:

  • Threat Intelligence Feeds: Abonnieren Sie Dienste, die neue Angriffsvektoren verfolgen.
  • Zero-Day-Exploit-Abwehr: Verteilen Sie Patches und Updates umgehend, um neu entdeckte Schwachstellen zu adressieren.

Diese Maßnahmen sind von entscheidender Bedeutung, insbesondere angesichts der fortschrittlichen Techniken der Lazarus-Gruppe, die Zero-Day-Exploits, ausgeklügelte Techniken sozialer Beeinflussung und schnelle Geldwäsche umfassen.


Fazit: Lektionen für die Krypto-Industrie

Der Bybit-Hack, der größte Kryptowährungsdiebstahl in der Geschichte, unterstreicht die anhaltenden Sicherheitsherausforderungen, denen sich die Branche gegenübersieht, insbesondere durch staatlich geförderte Akteure wie die Lazarus-Gruppe.

Während Ethereum sicher bleibt, verdeutlicht der Vorfall die Notwendigkeit für robuste interne Prozesse, fortschrittliche Cyber-Sicherheitsmaßnahmen und kontinuierliche Wachsamkeit, um digitale Vermögenswerte zu schützen.

Da sich das Kryptowährungs-Ökosystem weiterentwickelt, müssen Börsen Benutzervertrauen und betriebliche Widerstandsfähigkeit priorisieren, um solche Krisen effektiv zu bewältigen.

Der Bybit-Breach dient als krasse Erinnerung daran, dass selbst die sichersten Plattformen anfällig für menschliche Fehler und ausgeklügelte Angriffe sind, was die Bedeutung von mehrschichtiger Sicherheit und branchenweiter Zusammenarbeit zur Bekämpfung der Cyberkriminalität betont.

Haftungsausschluss: Die in diesem Artikel bereitgestellten Informationen dienen ausschließlich Bildungszwecken und sollten nicht als Finanz- oder Rechtsberatung betrachtet werden. Führen Sie immer Ihre eigene Recherche durch oder konsultieren Sie einen Fachmann, wenn Sie mit Kryptowährungsanlagen umgehen.
Neueste Nachrichten
Alle Nachrichten anzeigen
Verwandte Nachrichten
Verwandte Forschungsartikel