Notizie
Bybit Hack da $1,5 Miliardi Spiegato: Come gli Hacker Hanno Accesso ai Portafogli Cold Wallet, Ethereum è Compromesso?

Bybit Hack da $1,5 Miliardi Spiegato: Come gli Hacker Hanno Accesso ai Portafogli Cold Wallet, Ethereum è Compromesso?

Alexey BondarevFeb, 24 2025 5:35
#Bybit #Hacker
Bybit Hack da $1,5 Miliardi Spiegato: Come gli Hacker Hanno Accesso ai Portafogli Cold Wallet, Ethereum è Compromesso?

Nel più grande furto di criptovalute a oggi, l'exchange con sede nelle Seychelles Bybit ha perso circa $1,5 miliardi in Ethereum (ETH) il 21 febbraio 2025, a seguito di un sofisticato attacco da parte di hacker legati alla Corea del Nord.

La violazione, confermata dal CEO di Bybit Ben Zhou, segna una significativa escalation nei crimini informatici che colpiscono l'industria delle criptovalute e solleva importanti domande sulla sicurezza degli asset digitali.

Analizziamo approfonditamente l'hack, i metodi tecnici utilizzati, il ruolo dell'analisi della blockchain, il coinvolgimento del Gruppo Lazarus e le implicazioni più ampie per l'ecosistema delle criptovalute.

Bybit: Un Protagonista nel Mercato delle Criptovalute

Bybit, fondata nel 2018 e con sede nelle Seychelles, si è affermata come un exchange di criptovalute leader, noto per i suoi alti volumi di trading e le offerte diversificate, che includono l'acquisto e la vendita di criptovalute ai prezzi di mercato correnti, la speculazione sui movimenti di prezzo futuri con leva finanziaria, guadagnando ricompense bloccando fondi per supportare le operazioni della blockchain.

L'interfaccia user-friendly dell'exchange e la reputazione per le misure di sicurezza robuste, come i portafogli cold wallet multi-firma e gli audit di sicurezza regolari, hanno attratto una base utenti globale. Questa reputazione ha reso l'hack particolarmente allarmante, poiché ha esposto vulnerabilità anche nei contesti più affidabili.

Scoperta dell'Hack

L'hack è stato rilevato per la prima volta dall'analista on-chain ZachXBT, che ha segnalato flussi di uscita sospetti per un totale di $1,46 miliardi dai portafogli di Bybit alle 10:20 a.m. ET del 21 febbraio 2025.

Questi flussi di uscita, che coinvolgono 401.347 ETH, hanno sollevato preoccupazioni immediate su una potenziale violazione della sicurezza. Entro 30 minuti, il CEO di Bybit Ben Zhou ha confermato la violazione in un post su X (precedentemente Twitter), attribuendo l'attacco a una tecnica di transazione "mascherata" che ha sfruttato il portafoglio cold wallet multi-firma dell'exchange durante un trasferimento di routine a un portafoglio caldo.

Comprendere i Portafogli Cold Wallet Multi-Firma e la Loro Sicurezza

Cos'è un Cold Wallet Multi-Firma?

Un portafoglio cold wallet multi-firma (multi-sig) è un tipo di archiviazione di criptovalute progettato per migliorare la sicurezza richiedendo più chiavi private per autorizzare una transazione.

A differenza dei portafogli a chiave singola, che si affidano a una sola chiave e sono più vulnerabili ai furti, i portafogli multi-firma distribuiscono il controllo tra diverse parti o dispositivi. Ad esempio, un portafoglio multi-firma 2-of-3 richiede due su tre firmatari designati per approvare una transazione.

I portafogli cold wallet, d'altra parte, sono soluzioni di archiviazione offline, il che significa che non sono collegati a Internet, riducendo il rischio di attacchi online come hacking o phishing.

La configurazione del portafoglio cold wallet multi-firma di Bybit richiedeva approvazioni da parte di più firmatari, una pratica standard per proteggere grandi quantità di criptovalute.

L'uso di portafogli cold wallet multi-firma da parte di Bybit era inteso a proteggere le sue sostanziali detenute in ETH, rendendo la violazione particolarmente sorprendente e sottolineando la sofisticazione dell'attacco.

Come è Stato Eseguito l'Hack: Dettagli Tecnici

Gli hacker hanno bypassato la sicurezza multi-sig di Bybit attraverso una combinazione di ingegneria sociale e manipolazione tecnica avanzata.

Ecco un'analisi dettagliata dell'attacco:

1. Accesso Iniziale tramite Ingegneria Sociale

Gli hacker, ritenuti parte del Gruppo Lazarus della Corea del Nord, probabilmente hanno ottenuto l'accesso iniziale tramite tecniche di phishing avanzate, come:

  • Email di spear-phishing: Email mirate progettate per ingannare dipendenti o firmatari a rivelare credenziali o cliccare su link malevoli.
  • Siti web falsi: Siti di phishing che imitano le interfacce legittime di Bybit per catturare chiavi private o frasi seed.
  • Infezione da malware: Distribuzione di malware per compromettere i sistemi o i dispositivi utilizzati dai firmatari.

Queste tattiche di ingegneria sociale hanno sfruttato l'errore umano, una vulnerabilità critica anche nei sistemi più sicuri.

2. Manipolazione della Transazione tramite Interfaccia Mascherata

Durante un trasferimento di routine dal portafoglio cold wallet multi-firma ETH di Bybit a un portafoglio caldo (un portafoglio online per transazioni più veloci), gli hacker hanno eseguito il loro exploit. Gli hacker hanno alterato l'interfaccia di firma, il componente rivolto all'utente dove i firmatari approvano le transazioni. Questa interfaccia è stata manipolata per visualizzare un indirizzo di transazione legittimo mentre il codice malevolo è stato incorporato nella logica del contratto intelligente sottostante.

I firmatari, ignari della manipolazione, hanno approvato quello che sembrava un trasferimento di routine. Tuttavia, la transazione approvata conteneva codice malevolo che ha alterato i meccanismi di controllo del portafoglio.

3. Alterazione della Logica del Contratto Intelligente

Il codice malevolo incorporato nella transazione ha sfruttato vulnerabilità nel processo di approvazione della transazione.

La transazione approvata ha alterato la logica del contratto intelligente, concedendo agli hacker il controllo del portafoglio. Ciò ha permesso loro di trasferire 401.347 ETH a un indirizzo non identificato sotto il loro controllo.

L'attacco non ha compromesso la blockchain di Ethereum o i suoi contratti intelligenti ma ha sfruttato il processo interno di Bybit per la convalida e l'approvazione delle transazioni.

4. Riciclaggio e Dispersione dei Fondi

Dopo aver ottenuto il controllo dei fondi, gli hacker hanno rapidamente disperso l'ETH rubato su più portafogli per offuscare la loro traccia.

L'ETH è stato suddiviso in incrementi di 1.000 ETH e inviato a oltre 40 portafogli diversi.

Gli hacker hanno convertito l'ETH in altre criptovalute o fiat tramite exchange decentralizzati (DEX), che mancano dei requisiti di know-your-customer (KYC) degli exchange centralizzati, rendendo più difficile congelare o recuperare i fondi.

Analisi della Blockchain e Tracciamento dei Fondi

Le aziende di analisi blockchain hanno svolto un ruolo cruciale nel tracciare i fondi rubati, nonostante i tentativi degli hacker di oscurare i loro movimenti.

Le principali aziende e strumenti coinvolti includono:

  • Elliptic: Una società di analisi blockchain che ha tracciato l'ETH rubato mentre veniva disperso e liquidato. Il software di Elliptic analizza i modelli di transazione e gli indirizzi dei portafogli per identificare attività sospette.
  • Arkham Intelligence: Un'altra società di analisi che ha fornito un tracciamento in tempo reale dei fondi, identificando portafogli associati e flussi di transazione.
  • MistTrack di Slow Mist: Uno strumento di analisi forense blockchain utilizzato per mappare il movimento dell'ETH rubato attraverso la rete Ethereum. MistTrack ha segnalato transazioni di test e modelli di portafoglio indicativi delle tecniche del Gruppo Lazarus.

Nonostante questi sforzi, la velocità e la scala della liquidazione hanno reso difficile il recupero.

L'uso da parte degli hacker di DEX e mixer (strumenti che mescolano criptovalute per nascondere la loro origine) ha ulteriormente complicato il processo.

Il Gruppo Lazarus: I Colpevoli Dietro l'Hack

Chi è il Gruppo Lazarus?

Il Gruppo Lazarus è un collettivo di hacker sponsorizzato dallo Stato nordcoreano noto per aver orchestrato crimini informatici di alto profilo, tra cui furti di criptovalute, attacchi ransomware e spionaggio.

Il gruppo si ritiene operi sotto la direzione dell'Ufficio Generale della Ricognizione della Corea del Nord, con l'obiettivo principale di generare entrate per il regime.

Prove che Collegano il Lazarus all'Hack di Bybit

Gli analisti blockchain, inclusi ZachXBT, hanno collegato l'hack di Bybit a precedenti sfruttamenti del Gruppo Lazarus in base a diversi indicatori.

  • Transazioni di test: Piccoli trasferimenti inviati prima dell'attacco principale per testare la funzionalità del portafoglio, un marchio delle tattiche di Lazarus.
  • Portafogli associati: I portafogli utilizzati nell'hack di Bybit sono stati collegati a quelli coinvolti in precedenti hack, come lo sfruttamento di Phemex.
  • Grafici forensi e analisi del tempo: I modelli nel tempismo delle transazioni e nell'attività del portafoglio corrispondevano ai comportamenti noti di Lazarus.

Record di Successi del Gruppo Lazarus

Il Gruppo Lazarus ha una lunga storia di furti di criptovalute, con esempi significativi tra cui:

  • Hack della rete Ronin (2022): Ha rubato $600 milioni in ETH e USDC dalla piattaforma di gioco Axie Infinity.
  • Hack di Phemex (2024): Collegato all'hack di Bybit tramite tecniche simili e modelli di portafoglio.
  • Totali del 2024: Si stima che abbiano rubato $1,34 miliardi in 47 hack, rappresentando il 61% di tutta l'attività cripto illecita dell'anno.

Le tecniche avanzate del gruppo, come gli exploit zero-day (vulnerabilità precedentemente sconosciute) e la sofisticata ingegneria sociale, li rendono una minaccia formidabile per l'industria delle criptovalute.

Implicazioni per Ethereum e l'Ecosistema Cripto

Sicurezza di Ethereum

Nonostante la portata dell'attacco, Ethereum non è stato compromesso.

La vulnerabilità risiedeva nei processi interni di Bybit, non nella blockchain di Ethereum o nei suoi contratti intelligenti.

Ecco perché.

La blockchain di Ethereum, un registro decentralizzato delle transazioni, è rimasta sicura. L'attacco non ha sfruttato le falle nel meccanismo di consenso della blockchain (proof of stake) o nel suo sistema di contratti intelligenti.

La violazione derivava da approvazioni di transazioni manipolate, sottolineando i rischi dei processi incentrati sull'uomo nella gestione delle criptovalute.

Sebbene il codice del contratto intelligente stesso non sia stato hackerato, la manipolazione del processo di approvazione tramite un'interfaccia mascherata solleva preoccupazioni sulla sicurezza delle interfacce utente e dei meccanismi di firma delle transazioni nei portafogli multi-firma.

Impatto sul Mercato Più Ampio

L'hack ha avuto effetti immediati e a catena sul mercato delle criptovalute.

I prezzi di ETH sono scesi di oltre il 3% dopo la conferma dell'hack, riflettendo una volatilità aumentata.

La violazione ha coinciso con ETHDenver, una delle più grandi conferenze dell'ecosistema Ethereum, gettando un'ombra ribassista su un evento tipicamente rialzista per ETH.

L'incidente ha eroso la fiducia negli exchange centralizzati, inducendo gli utenti a mettere in discussione la sicurezza dei loro asset e aumentando l'interesse verso soluzioni di finanza decentralizzata (DeFi).

E ovviamente, il mero fatto che il più grande hack di sempre si sia verificato durante il mercato rialzista non è da trascurare.

Risposta di Bybit e Sforzi di Recupero

La pronta risposta di Bybit ha aiutato a mitigare il panico e ha dimostrato la resilienza operativa. Contenuto: L'exchange ha elaborato oltre 580.000 richieste di prelievo dopo l'hack, garantendo agli utenti l'accesso ai propri fondi.

Bybit ha anche garantito prestiti ponte per coprire le perdite, rassicurando gli utenti sulla sua solvibilità. L'exchange ha lanciato un programma che offre fino al 10% dei fondi recuperati agli hacker etici che assistono nel recupero degli ETH rubati.

Queste misure, sebbene proattive, mettono in evidenza le sfide del recupero dei fondi in hack su larga scala, soprattutto considerando le tecniche di riciclaggio degli attaccanti.

Misure Preventive per il Futuro

Per evitare hack simili, gli esperti raccomandano un insieme completo di misure di sicurezza basate sulle migliori pratiche del settore e sugli insight derivanti dall'incidente di Bybit.

1. Autenticazione Multi-Fattore (MFA)

Richiedere più livelli di verifica per l'approvazione delle transazioni, come:

  • Autenticazione biometrica: Riconoscimento delle impronte digitali o del volto.
  • Token hardware: Dispositivi fisici che generano codici usa e getta.
  • Password temporanee basate sul tempo (TOTP): App come Google Authenticator per codici temporanei.

2. Canali di Comunicazione Sicuri

Utilizzare canali criptati e verificati per tutte le comunicazioni relative alle transazioni, come:

  • Email criptata end-to-end: Strumenti come ProtonMail o Signal per messaggi sicuri.
  • Portali sicuri dedicati: Sistemi interni per l'approvazione delle transazioni, isolati dalle minacce esterne.

3. Audit di Sicurezza Regolari

Condurre valutazioni frequenti e test di penetrazione per identificare le vulnerabilità:

  • Audit di terze parti: Coinvolgere aziende rinomate per revisionare i protocolli di sicurezza.
  • Attacchi simulati: Testare i sistemi contro scenari di phishing, malware e ingegneria sociale.

4. Formazione dei Dipendenti

Educare il personale a riconoscere le minacce di ingegneria sociale, come:

  • Consapevolezza del spear-phishing: Insegnare ai dipendenti a identificare email o link sospetti.
  • Igiene delle credenziali: Evitare di riutilizzare password o conservare chiavi in modo insicuro.

5. Gestione Diversificata degli Asset

Distribuire i fondi su più wallet per limitare l'esposizione:

  • Bilancio di cold e hot wallet: Tenere la maggior parte dei fondi in cold storage, con quantità minime in hot wallets per operazioni quotidiane.
  • Distribuzione multi-sig: Utilizzare configurazioni multi-sig diverse per diversi pool di asset.

6. Sistemi di Rilevamento delle Anomalie

Implementare strumenti per rilevare e allertare su modelli di transazioni insoliti, come:

  • Modelli di machine learning: Identificare deviazioni dall'attività normale, come trasferimenti importanti in orari insoliti.
  • Allerte in tempo reale: Notificare i team di sicurezza di uscite sospette.

7. Mantenersi Aggiornati sulle Minacce

Aggiornare continuamente le misure di sicurezza per contrastare le minacce informatiche emergenti:

  • Feed di intelligence sulle minacce: Iscriversi a servizi che tracciano nuovi vettori di attacco.
  • Difese contro exploit zero-day: Implementare patch e aggiornamenti prontamente per affrontare vulnerabilità appena scoperte.

Queste misure sono cruciali, soprattutto considerando le tecniche avanzate del Gruppo Lazarus, che includono exploit zero-day, ingegneria sociale sofisticata e rapido riciclaggio di fondi.

Conclusione: Lezioni per l'Industria Cripto

L'hack di Bybit, il più grande furto di criptovaluta nella storia, sottolinea le sfide persistenti di sicurezza che affronta l'industria, in particolare da attori sponsorizzati dallo stato come il Gruppo Lazarus.

Sebbene Ethereum rimanga sicuro, l'incidente mette in evidenza la necessità di processi interni robusti, misure avanzate di cybersecurity e vigilanza continua per proteggere gli asset digitali.

Con l'evoluzione dell'ecosistema delle criptovalute, gli exchange devono dare priorità alla fiducia degli utenti e alla resilienza operativa per affrontare efficacemente tali crisi.

La violazione di Bybit serve come un severo promemoria che anche le piattaforme più sicure sono vulnerabili agli errori umani e agli attacchi sofisticati, sottolineando l'importanza di una sicurezza a più livelli e di una collaborazione a livello settoriale per combattere il cybercrime.

Disclaimer: Le informazioni fornite in questo articolo sono solo a scopo educativo e non devono essere considerate consulenza finanziaria o legale. Conduci sempre la tua ricerca o consulta un professionista prima di investire in criptovalute.
Ultime notizie
Mostra tutte le notizie
Trump licenzia Powell farà crollare Bitcoin? Pompliano lancia l'allarme
18 minuti fa
La politica monetaria USA è scrutinata, inviando onde d'urto nel mondo crypto, con avvertimenti su rischi per Bitcoin.
Bitcoin Whales Assorbono il 300% dell'Offerta Mineraria Annuale mentre Livello di $87,400 viene Riconquistato
1 ora fa
Gli indirizzi di Bitcoin Whale hanno raggiunto 2,107 in aprile, il massimo in quattro mesi. I prezzi di Bitcoin sono saliti sopra $87,400 il 21 aprile.
Pulse settimanale dei mercati globali: le tensioni sui dazi si intrecciano con i tagli dei tassi
12 ore fa
Mercati azionari in fermento; volatilità alimentata dalle decisioni delle banche centrali e dalle tensioni sui dazi. Settori cruciali mostrano resilienza, mentre le incertezze globali persistono.
Notizie correlate
L'epico hack di Bybit da 1,5 miliardi di dollari accende il dibattito sulla sicurezza dell'architettura Ethereum
Feb 24, 2025
L'hack di Bybit ha suscitato preoccupazioni sulla sicurezza del blockchain, con il gruppo Lazarus della Corea del Nord che ha rubato enormi somme.
La perdita di 1,46 miliardi di dollari di Bybit a causa di hacker nordcoreani stabilisce un record storico
Feb 22, 2025
N/A
Bybit subisce un furto di 1,4 miliardi di dollari dal portafoglio freddo in un sofisticato schema di phishing
Feb 21, 2025
Bybit è stata vittima di un furto di 1,4 miliardi di dollari in token Ethereum da un portafoglio freddo. L'indagine ha rivelato uno schema...
Bybit acquista Ethereum per $742M per compensare i danni causati dall'hack
Feb 24, 2025
Lo scambio ha eseguito una serie di acquisti rapidi per ripristinare le riserve dopo il furto da parte del Gruppo Lazarus della Corea del Nord.
Il hacker di Bybit ricicla 239 milioni di dollari in Ethereum rubati, 148 milioni di dollari ancora a rischio
Mar 04, 2025
Un hacker di criptovalute ha processato 96.500 ETH rubati dallo scambio di Bybit, secondo l'analisi blockchain.
Ricerche correlate
ChatGPT vs. DeepSeek: Quale AI Risponde Meglio alle Domande su Crypto?
Feb 05, 2025
Abbiamo messo a confronto il ChatGPT OG di OpenAI con DeepSeek per scoprire quale risponde meglio alle nostre domande ardenti su crypto. Risultato? Una battaglia interessante tra stile e sostanza.
7 motivi per cui Bitcoin domina Ethereum: Perché il cosiddetto Flippening non avverrà presto (o mai)
Oct 28, 2024
La supremazia di Bitcoin si consolida con oltre il 58% del mercato. Ethereum affronta difficoltà, rendendo improbabile il sorpasso imminente.
Crypto Whales Unleashed: Dentro la loro enorme influenza sul Bull Run del 2024
Nov 15, 2024
Il mercato delle criptovalute sta vivendo un notevole aumento, con l'interesse di trader e investitori, rivitalizzando i dibattiti sui crypto whales.
Solana contro Ethereum: 6 Vantaggi Cruciali di SOL, 3 Motivi per cui ETH Ancora Non Cadrà
Nov 05, 2024
Due altcoin importanti nello spazio cripto: Ethereum e Solana. Ethereum, lanciato nel 2015, è noto per...
Solana può superare USDT e diventare la terza più grande criptovaluta?
Nov 27, 2024
Con un recente sorpasso di BNB (93 milioni di dollari), Solana è ora Crypto #4 e si sta avvicinando a Tether.
Guide correlate
5 Modi Principali per Proteggere il Tuo Portafoglio Crypto dagli Hacker
Dec 31, 2024
La sicurezza dei portafogli crypto è fondamentale. Anche perdendo piccole quantità di crypto si può subire un danno finanziario significativo.
Sicurezza DEX: Proteggere gli utenti in un mondo decentralizzato
Jan 12, 2025
Gli exchange decentralizzati rappresentano un cambiamento di paradigma nel panorama degli scambi di criptovalute, operando come mercati peer-to-peer senza intermediari. L'anonimato...
I 10 migliori Exchange di Criptovalute Centralizzati nel 2025
Apr 19, 2025
Gli scambi centralizzati di criptovalute (CEX) formano la spina dorsale dell'ecosistema degli asset digitali, fornendo ponti essenziali tra la finanza tradizionale e il panorama delle criptovalute in evoluzione.
Come Trovare i Bitcoin Persi: Una Guida Completa
Mar 04, 2025
Panoramica su come i Bitcoin vengono persi e potenziali strategie di recupero.
Che cosa sono i Rug Pull e Come Riconoscerli: 7 Segnali di Allarme Critici
Apr 15, 2025
Scopri come la rivoluzione crypto ha portato innovazioni senza precedenti, dall'uso programmabile del denaro ai servizi finanziari senza fiducia, ma...