Nel più grande furto di criptovalute a oggi, l'exchange con sede nelle Seychelles Bybit ha perso circa $1,5 miliardi in Ethereum (ETH) il 21 febbraio 2025, a seguito di un sofisticato attacco da parte di hacker legati alla Corea del Nord.
La violazione, confermata dal CEO di Bybit Ben Zhou, segna una significativa escalation nei crimini informatici che colpiscono l'industria delle criptovalute e solleva importanti domande sulla sicurezza degli asset digitali.
Analizziamo approfonditamente l'hack, i metodi tecnici utilizzati, il ruolo dell'analisi della blockchain, il coinvolgimento del Gruppo Lazarus e le implicazioni più ampie per l'ecosistema delle criptovalute.
Bybit: Un Protagonista nel Mercato delle Criptovalute
Bybit, fondata nel 2018 e con sede nelle Seychelles, si è affermata come un exchange di criptovalute leader, noto per i suoi alti volumi di trading e le offerte diversificate, che includono l'acquisto e la vendita di criptovalute ai prezzi di mercato correnti, la speculazione sui movimenti di prezzo futuri con leva finanziaria, guadagnando ricompense bloccando fondi per supportare le operazioni della blockchain.
L'interfaccia user-friendly dell'exchange e la reputazione per le misure di sicurezza robuste, come i portafogli cold wallet multi-firma e gli audit di sicurezza regolari, hanno attratto una base utenti globale. Questa reputazione ha reso l'hack particolarmente allarmante, poiché ha esposto vulnerabilità anche nei contesti più affidabili.
Scoperta dell'Hack
L'hack è stato rilevato per la prima volta dall'analista on-chain ZachXBT, che ha segnalato flussi di uscita sospetti per un totale di $1,46 miliardi dai portafogli di Bybit alle 10:20 a.m. ET del 21 febbraio 2025.
Questi flussi di uscita, che coinvolgono 401.347 ETH, hanno sollevato preoccupazioni immediate su una potenziale violazione della sicurezza. Entro 30 minuti, il CEO di Bybit Ben Zhou ha confermato la violazione in un post su X (precedentemente Twitter), attribuendo l'attacco a una tecnica di transazione "mascherata" che ha sfruttato il portafoglio cold wallet multi-firma dell'exchange durante un trasferimento di routine a un portafoglio caldo.
Comprendere i Portafogli Cold Wallet Multi-Firma e la Loro Sicurezza
Cos'è un Cold Wallet Multi-Firma?
Un portafoglio cold wallet multi-firma (multi-sig) è un tipo di archiviazione di criptovalute progettato per migliorare la sicurezza richiedendo più chiavi private per autorizzare una transazione.
A differenza dei portafogli a chiave singola, che si affidano a una sola chiave e sono più vulnerabili ai furti, i portafogli multi-firma distribuiscono il controllo tra diverse parti o dispositivi. Ad esempio, un portafoglio multi-firma 2-of-3 richiede due su tre firmatari designati per approvare una transazione.
I portafogli cold wallet, d'altra parte, sono soluzioni di archiviazione offline, il che significa che non sono collegati a Internet, riducendo il rischio di attacchi online come hacking o phishing.
La configurazione del portafoglio cold wallet multi-firma di Bybit richiedeva approvazioni da parte di più firmatari, una pratica standard per proteggere grandi quantità di criptovalute.
L'uso di portafogli cold wallet multi-firma da parte di Bybit era inteso a proteggere le sue sostanziali detenute in ETH, rendendo la violazione particolarmente sorprendente e sottolineando la sofisticazione dell'attacco.
Come è Stato Eseguito l'Hack: Dettagli Tecnici
Gli hacker hanno bypassato la sicurezza multi-sig di Bybit attraverso una combinazione di ingegneria sociale e manipolazione tecnica avanzata.
Ecco un'analisi dettagliata dell'attacco:
1. Accesso Iniziale tramite Ingegneria Sociale
Gli hacker, ritenuti parte del Gruppo Lazarus della Corea del Nord, probabilmente hanno ottenuto l'accesso iniziale tramite tecniche di phishing avanzate, come:
- Email di spear-phishing: Email mirate progettate per ingannare dipendenti o firmatari a rivelare credenziali o cliccare su link malevoli.
- Siti web falsi: Siti di phishing che imitano le interfacce legittime di Bybit per catturare chiavi private o frasi seed.
- Infezione da malware: Distribuzione di malware per compromettere i sistemi o i dispositivi utilizzati dai firmatari.
Queste tattiche di ingegneria sociale hanno sfruttato l'errore umano, una vulnerabilità critica anche nei sistemi più sicuri.
2. Manipolazione della Transazione tramite Interfaccia Mascherata
Durante un trasferimento di routine dal portafoglio cold wallet multi-firma ETH di Bybit a un portafoglio caldo (un portafoglio online per transazioni più veloci), gli hacker hanno eseguito il loro exploit. Gli hacker hanno alterato l'interfaccia di firma, il componente rivolto all'utente dove i firmatari approvano le transazioni. Questa interfaccia è stata manipolata per visualizzare un indirizzo di transazione legittimo mentre il codice malevolo è stato incorporato nella logica del contratto intelligente sottostante.
I firmatari, ignari della manipolazione, hanno approvato quello che sembrava un trasferimento di routine. Tuttavia, la transazione approvata conteneva codice malevolo che ha alterato i meccanismi di controllo del portafoglio.
3. Alterazione della Logica del Contratto Intelligente
Il codice malevolo incorporato nella transazione ha sfruttato vulnerabilità nel processo di approvazione della transazione.
La transazione approvata ha alterato la logica del contratto intelligente, concedendo agli hacker il controllo del portafoglio. Ciò ha permesso loro di trasferire 401.347 ETH a un indirizzo non identificato sotto il loro controllo.
L'attacco non ha compromesso la blockchain di Ethereum o i suoi contratti intelligenti ma ha sfruttato il processo interno di Bybit per la convalida e l'approvazione delle transazioni.
4. Riciclaggio e Dispersione dei Fondi
Dopo aver ottenuto il controllo dei fondi, gli hacker hanno rapidamente disperso l'ETH rubato su più portafogli per offuscare la loro traccia.
L'ETH è stato suddiviso in incrementi di 1.000 ETH e inviato a oltre 40 portafogli diversi.
Gli hacker hanno convertito l'ETH in altre criptovalute o fiat tramite exchange decentralizzati (DEX), che mancano dei requisiti di know-your-customer (KYC) degli exchange centralizzati, rendendo più difficile congelare o recuperare i fondi.
Analisi della Blockchain e Tracciamento dei Fondi
Le aziende di analisi blockchain hanno svolto un ruolo cruciale nel tracciare i fondi rubati, nonostante i tentativi degli hacker di oscurare i loro movimenti.
Le principali aziende e strumenti coinvolti includono:
- Elliptic: Una società di analisi blockchain che ha tracciato l'ETH rubato mentre veniva disperso e liquidato. Il software di Elliptic analizza i modelli di transazione e gli indirizzi dei portafogli per identificare attività sospette.
- Arkham Intelligence: Un'altra società di analisi che ha fornito un tracciamento in tempo reale dei fondi, identificando portafogli associati e flussi di transazione.
- MistTrack di Slow Mist: Uno strumento di analisi forense blockchain utilizzato per mappare il movimento dell'ETH rubato attraverso la rete Ethereum. MistTrack ha segnalato transazioni di test e modelli di portafoglio indicativi delle tecniche del Gruppo Lazarus.
Nonostante questi sforzi, la velocità e la scala della liquidazione hanno reso difficile il recupero.
L'uso da parte degli hacker di DEX e mixer (strumenti che mescolano criptovalute per nascondere la loro origine) ha ulteriormente complicato il processo.
Il Gruppo Lazarus: I Colpevoli Dietro l'Hack
Chi è il Gruppo Lazarus?
Il Gruppo Lazarus è un collettivo di hacker sponsorizzato dallo Stato nordcoreano noto per aver orchestrato crimini informatici di alto profilo, tra cui furti di criptovalute, attacchi ransomware e spionaggio.
Il gruppo si ritiene operi sotto la direzione dell'Ufficio Generale della Ricognizione della Corea del Nord, con l'obiettivo principale di generare entrate per il regime.
Prove che Collegano il Lazarus all'Hack di Bybit
Gli analisti blockchain, inclusi ZachXBT, hanno collegato l'hack di Bybit a precedenti sfruttamenti del Gruppo Lazarus in base a diversi indicatori.
- Transazioni di test: Piccoli trasferimenti inviati prima dell'attacco principale per testare la funzionalità del portafoglio, un marchio delle tattiche di Lazarus.
- Portafogli associati: I portafogli utilizzati nell'hack di Bybit sono stati collegati a quelli coinvolti in precedenti hack, come lo sfruttamento di Phemex.
- Grafici forensi e analisi del tempo: I modelli nel tempismo delle transazioni e nell'attività del portafoglio corrispondevano ai comportamenti noti di Lazarus.
Record di Successi del Gruppo Lazarus
Il Gruppo Lazarus ha una lunga storia di furti di criptovalute, con esempi significativi tra cui:
- Hack della rete Ronin (2022): Ha rubato $600 milioni in ETH e USDC dalla piattaforma di gioco Axie Infinity.
- Hack di Phemex (2024): Collegato all'hack di Bybit tramite tecniche simili e modelli di portafoglio.
- Totali del 2024: Si stima che abbiano rubato $1,34 miliardi in 47 hack, rappresentando il 61% di tutta l'attività cripto illecita dell'anno.
Le tecniche avanzate del gruppo, come gli exploit zero-day (vulnerabilità precedentemente sconosciute) e la sofisticata ingegneria sociale, li rendono una minaccia formidabile per l'industria delle criptovalute.
Implicazioni per Ethereum e l'Ecosistema Cripto
Sicurezza di Ethereum
Nonostante la portata dell'attacco, Ethereum non è stato compromesso.
La vulnerabilità risiedeva nei processi interni di Bybit, non nella blockchain di Ethereum o nei suoi contratti intelligenti.
Ecco perché.
La blockchain di Ethereum, un registro decentralizzato delle transazioni, è rimasta sicura. L'attacco non ha sfruttato le falle nel meccanismo di consenso della blockchain (proof of stake) o nel suo sistema di contratti intelligenti.
La violazione derivava da approvazioni di transazioni manipolate, sottolineando i rischi dei processi incentrati sull'uomo nella gestione delle criptovalute.
Sebbene il codice del contratto intelligente stesso non sia stato hackerato, la manipolazione del processo di approvazione tramite un'interfaccia mascherata solleva preoccupazioni sulla sicurezza delle interfacce utente e dei meccanismi di firma delle transazioni nei portafogli multi-firma.
Impatto sul Mercato Più Ampio
L'hack ha avuto effetti immediati e a catena sul mercato delle criptovalute.
I prezzi di ETH sono scesi di oltre il 3% dopo la conferma dell'hack, riflettendo una volatilità aumentata.
La violazione ha coinciso con ETHDenver, una delle più grandi conferenze dell'ecosistema Ethereum, gettando un'ombra ribassista su un evento tipicamente rialzista per ETH.
L'incidente ha eroso la fiducia negli exchange centralizzati, inducendo gli utenti a mettere in discussione la sicurezza dei loro asset e aumentando l'interesse verso soluzioni di finanza decentralizzata (DeFi).
E ovviamente, il mero fatto che il più grande hack di sempre si sia verificato durante il mercato rialzista non è da trascurare.
Risposta di Bybit e Sforzi di Recupero
La pronta risposta di Bybit ha aiutato a mitigare il panico e ha dimostrato la resilienza operativa. Contenuto: L'exchange ha elaborato oltre 580.000 richieste di prelievo dopo l'hack, garantendo agli utenti l'accesso ai propri fondi.
Bybit ha anche garantito prestiti ponte per coprire le perdite, rassicurando gli utenti sulla sua solvibilità. L'exchange ha lanciato un programma che offre fino al 10% dei fondi recuperati agli hacker etici che assistono nel recupero degli ETH rubati.
Queste misure, sebbene proattive, mettono in evidenza le sfide del recupero dei fondi in hack su larga scala, soprattutto considerando le tecniche di riciclaggio degli attaccanti.
Misure Preventive per il Futuro
Per evitare hack simili, gli esperti raccomandano un insieme completo di misure di sicurezza basate sulle migliori pratiche del settore e sugli insight derivanti dall'incidente di Bybit.
1. Autenticazione Multi-Fattore (MFA)
Richiedere più livelli di verifica per l'approvazione delle transazioni, come:
- Autenticazione biometrica: Riconoscimento delle impronte digitali o del volto.
- Token hardware: Dispositivi fisici che generano codici usa e getta.
- Password temporanee basate sul tempo (TOTP): App come Google Authenticator per codici temporanei.
2. Canali di Comunicazione Sicuri
Utilizzare canali criptati e verificati per tutte le comunicazioni relative alle transazioni, come:
- Email criptata end-to-end: Strumenti come ProtonMail o Signal per messaggi sicuri.
- Portali sicuri dedicati: Sistemi interni per l'approvazione delle transazioni, isolati dalle minacce esterne.
3. Audit di Sicurezza Regolari
Condurre valutazioni frequenti e test di penetrazione per identificare le vulnerabilità:
- Audit di terze parti: Coinvolgere aziende rinomate per revisionare i protocolli di sicurezza.
- Attacchi simulati: Testare i sistemi contro scenari di phishing, malware e ingegneria sociale.
4. Formazione dei Dipendenti
Educare il personale a riconoscere le minacce di ingegneria sociale, come:
- Consapevolezza del spear-phishing: Insegnare ai dipendenti a identificare email o link sospetti.
- Igiene delle credenziali: Evitare di riutilizzare password o conservare chiavi in modo insicuro.
5. Gestione Diversificata degli Asset
Distribuire i fondi su più wallet per limitare l'esposizione:
- Bilancio di cold e hot wallet: Tenere la maggior parte dei fondi in cold storage, con quantità minime in hot wallets per operazioni quotidiane.
- Distribuzione multi-sig: Utilizzare configurazioni multi-sig diverse per diversi pool di asset.
6. Sistemi di Rilevamento delle Anomalie
Implementare strumenti per rilevare e allertare su modelli di transazioni insoliti, come:
- Modelli di machine learning: Identificare deviazioni dall'attività normale, come trasferimenti importanti in orari insoliti.
- Allerte in tempo reale: Notificare i team di sicurezza di uscite sospette.
7. Mantenersi Aggiornati sulle Minacce
Aggiornare continuamente le misure di sicurezza per contrastare le minacce informatiche emergenti:
- Feed di intelligence sulle minacce: Iscriversi a servizi che tracciano nuovi vettori di attacco.
- Difese contro exploit zero-day: Implementare patch e aggiornamenti prontamente per affrontare vulnerabilità appena scoperte.
Queste misure sono cruciali, soprattutto considerando le tecniche avanzate del Gruppo Lazarus, che includono exploit zero-day, ingegneria sociale sofisticata e rapido riciclaggio di fondi.
Conclusione: Lezioni per l'Industria Cripto
L'hack di Bybit, il più grande furto di criptovaluta nella storia, sottolinea le sfide persistenti di sicurezza che affronta l'industria, in particolare da attori sponsorizzati dallo stato come il Gruppo Lazarus.
Sebbene Ethereum rimanga sicuro, l'incidente mette in evidenza la necessità di processi interni robusti, misure avanzate di cybersecurity e vigilanza continua per proteggere gli asset digitali.
Con l'evoluzione dell'ecosistema delle criptovalute, gli exchange devono dare priorità alla fiducia degli utenti e alla resilienza operativa per affrontare efficacemente tali crisi.
La violazione di Bybit serve come un severo promemoria che anche le piattaforme più sicure sono vulnerabili agli errori umani e agli attacchi sofisticati, sottolineando l'importanza di una sicurezza a più livelli e di una collaborazione a livello settoriale per combattere il cybercrime.