Grupa hakerska Lazarus zaatakowała giełdę Bybit – największa kradzież kryptowalut w historii

Świat kryptowalut po raz kolejny przegrał starcie z grupą cyberprzestępców. Tym razem padło na giełdę Bybit, która straciła 1,5 miliarda dolarów w Ethereum w wyniku ataku przeprowadzonego przez północnokoreańską grupę hakerską Lazarus. To największa tego typu kradzież w historii branży.

Kradzież na niespotykaną skalę

Zdarzenie miało miejsce 21 lutego 2025 roku – wtedy Bybit wykrył nieautoryzowaną aktywność na jednym ze swoich zimnych portfeli Ethereum. Atak został przeprowadzony za pomocą spreparowanej transakcji, która ukrywała rzeczywisty cel przekazu przed osobami autoryzowanymi do zarządzania funduszami giełdy. W wyniku manipulacji hakerzy przejęli kontrolę nad smart kontraktem, co pozwoliło im na opróżnienie portfela giełdy.

Zimny portfel (cold wallet) to metoda bezpiecznego przechowywania kryptowalut offline, minimalizująca ryzyko cyberataków. Może mieć formę sprzętową (np. Ledger, Trezor), papierową lub oprogramowania na odłączonym urządzeniu. Zapewnia pełną kontrolę nad środkami, ale wymaga fizycznego dostępu i ostrożności – utrata klucza prywatnego oznacza brak możliwości odzyskania środków. Idealny dla długoterminowych inwestorów.

Zimne portfele uchodzą za znacznie bezpieczniejsze od portfeli gorących, które są stale podłączone do Internetu. Tym razem jednak nawet takie środki bezpieczeństwa okazały się niewystarczające wobec zaawansowanej operacji przeprowadzonej przez Lazarus Group.

Dowody wskazujące na Lazarus Group

Dochodzenie przeprowadzone przez ekspertów blockchainowych, w tym firmę Arkham Intelligence oraz niezależnego analityka ZachXBT, potwierdziło, że za atakiem stoi właśnie Lazarus Group. Analiza transakcji przed atakiem wykazała, że hakerzy wcześniej przeprowadzili szereg testowych transferów, aby upewnić się, że ich metoda działa. Dodatkowo, adresy użyte do prania skradzionych środków były powiązane z wcześniejszymi cyberatakami grupy.

Badania wykazały również, że atak na Bybit nie był odosobniony. Te same adresy były wykorzystywane w podobnych atakach na inne giełdy, m.in. BingX i Phemex, co sugeruje skoordynowaną operację hakerską.

Pranie skradzionych środków

Zaraz po ataku skradzione Ethereum zostało podzielone na mniejsze części i rozproszone na 53 portfele. Przestępcy wykorzystali zdecentralizowane giełdy oraz tzw. miksery kryptowalutowe, aby utrudnić śledzenie funduszy. Szczególnie często pojawiał się serwis eXch, który nie wymaga procedury KYC (weryfikacji tożsamości użytkownika). Na początku giełda nie zamierzała współpracować z Bybit w blokowaniu podejrzanych transakcji, ale pod presją opinii publicznej ostatecznie zablokowała adresy związane z kradzieżą.

Według raportów firmy Elliptic do 23 lutego 2025 roku 14,5% skradzionych środków zostało już przemieszczone przez różne usługi służące do ukrywania pochodzenia kryptowalut. Śledztwo wskazuje, że hakerzy nadal aktywnie próbują wyczyścić resztę skradzionych środków.

Reakcja Bybit i konsekwencje dla rynku

Bybit zapewniło swoich użytkowników, że giełda posiada wystarczające rezerwy, aby pokryć straty i nie ma zagrożenia dla płynności finansowej platformy. W ciągu kilku dni po ataku firma wypłaciła klientom ponad 4 miliardy dolarów i zabezpieczyła dodatkowe fundusze w formie pożyczek.

Aby odzyskać część skradzionych środków, Bybit zaoferowało 10% nagrody za informacje prowadzące do ich odzyskania. Do tej pory udało się przechwycić około 42,9 miliona dolarów we współpracy z partnerami blockchainowymi.

Atak na Bybit to kolejny przykład zmagań branży kryptowalutowej z nieustającymi zagrożeniami związanymi z cyberprzestępczością. W 2024 roku odnotowano aż 303 udane ataki na platformy kryptowalutowe, co łącznie kosztowało inwestorów 2,2 miliarda dolarów. Eksperci podkreślają, że giełdy muszą zainwestować w jeszcze bardziej zaawansowane systemy zabezpieczeń, aby skutecznie chronić fundusze użytkowników przed coraz bardziej wyrafinowanymi metodami ataków.

Lazarus Group – seria głośnych ataków

Lazarus Group od lat jest jednym z najbardziej aktywnych ugrupowań hakerskich na świecie. Grupa, powiązana z rządem Korei Północnej, była odpowiedzialna m.in. za cyberatak na Sony Pictures w 2014 roku oraz atak na Bank Bangladeszu w 2016 roku, w którym skradziono 81 milionów dolarów. W 2017 roku Lazarus przeprowadziło globalny atak ransomware WannaCry, który sparaliżował 300 tysięcy komputerów w 150 krajach.

W 2024 roku, według firmy Chainalysis, grupa ukradła 1,34 miliarda dolarów w wyniku 47 ataków na platformy kryptowalutowe. Atak na Bybit tylko potwierdza, że hakerzy nadal pozostają aktywni i wykorzystują coraz bardziej zaawansowane techniki do przejmowania cyfrowych aktywów.

Atak na Bybit to największa jak dotąd kradzież kryptowalut, która pokazuje, jak poważnym zagrożeniem są dobrze zorganizowane grupy cyberprzestępcze. Pomimo działań śledczych i częściowego odzyskania funduszy, większość skradzionych środków pozostaje w rękach hakerów. Przypadek ten stanowi kolejny alarm dla branży kryptowalutowej, podkreślając konieczność wzmocnienia mechanizmów bezpieczeństwa oraz skuteczniejszej współpracy giełd i organów ścigania w walce z cyberprzestępczością.

Sprawę komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET:

Lazarus to jedna z najbardziej znanych i niebezpiecznych grup cyberprzestępczych, mająca silne powiązania z północnokoreańskim reżimem. Początkowo działała jak typowa grupa przestępcza nastawiona na zyski finansowe, ale obecnie jest już uznawana za tzw. grupę APT (Advanced Persistent Threat) – czyli wysoce zorganizowaną jednostkę, która prowadzi długofalowe ataki szpiegowskie i destrukcyjne na zlecenie rządów. Grupy APT nie działają chaotycznie – ich celem jest zdobycie dostępu do systemów na długi czas, żeby wykradać dane, śledzić działania firm czy instytucji albo przejmować pieniądze. Lazarus robi to wyjątkowo skutecznie, co sprawia, że jest jednym z najgroźniejszych graczy w świecie cyberprzestępczości.

Lazarus znany jest pod różnymi nazwami – Hidden Cobra (termin używany przez Departament Bezpieczeństwa Wewnętrznego USA), ZINC lub Diamond Sleet (według Microsoftu). Wewnętrznie w Korei Północnej grupa jest znana jako Biuro Łącznikowe 414 (414 Liaison Office). Jej działalność jest częścią strategii reżimu Kim Dzong Una, mającej na celu podważenie globalnego cyberbezpieczeństwa oraz generowanie nielegalnych dochodów, z naruszeniem międzynarodowych sankcji.

W ostatnim czasie analitycy ESET zaobserwowali wiele operacji grupy Lazarus, których celami były m.in.:

sektor obronny i lotniczy w Europie i USA w ramach kampanii Operation DreamJob, w której fałszywe oferty pracy służyły do infekowania systemów ofiar,
deweloperzy kryptowalut, tworząc fałszywe platformy tradingowe i trojanizowane aplikacje do kradzieży środków,
firmy technologiczne i badawcze, używając metod takich jak spearphishing i złośliwe pliki MSC (Microsoft Management Console), które umożliwiają wykonanie dowolnych komend na zainfekowanych komputerach.

Jednym z bardziej znaczących ataków tej grupy były działania z przełomu 2022 i 2023 skierowane na jednego z polskich dostawców z branży zbrojeniowej. Cyberprzestępcy wysyłali do pracowników tej firmy fałszywe oferty pracy w Boeingu. Do akcji wykorzystano zainfekowaną wersję znanego programu do odczytywania plików PDF, a także specjalne złośliwe oprogramowanie do pobierania plików.

Grupa intensywnie wykorzystuje chmurowe usługi hostingowe, takie jak GitHub, Bitbucket czy Google Drive, do ukrywania i dystrybucji swojego złośliwego oprogramowania. Wśród nowych narzędzi Lazarusa pojawiły się BeaverTail i InvisibleFerret, które ułatwiają wieloplatformową kradzież kryptowalut i danych logowania.

Tym razem grupa Lazarus zaatakowała giełdę kryptowalut Bybit. Warto pamiętać o tym, że wraz ze wzrostami popularności i kursów kryptowalut, rośnie także liczba oszustw i ataków, które mają na celu kradzież tych wirtualnych środków. Z raportu ESET, podsumowującego najnowsze dane o cyberzagrożeniach wynika, że w drugiej połowie 2024 wykryto o 56 proc. więcej cryptostealerów (czyli złośliwego oprogramowania przeznaczonego właśnie do kradzieży kryptowalut) niż w pierwszym półroczu. Na celowniku cyberprzestępców często znajdowali się także użytkownicy z Polski – stając się czwartą najczęściej atakowaną grupą (po inwestorach z Peru, USA i Hiszpanii).

W związku z tym, że kryptowalut w zasadzie nie da się odzyskać, ich posiadaczy obowiązują szczególne środki ostrożności. Przede wszystkim warto unikać trzymania wszystkich kryptowalut na giełdzie. Najbezpieczniejszym rozwiązaniem jest przechowywanie większości środków w sprzętowych portfelach, które działają offline i są mniej narażone na ataki. W przypadku wyboru platformy online do przechowywania i zarządzania kryptowalutami – warto sprawdzić, czy dany dostawca ma dobre opinie, odpowiednie licencje i stosuje solidne zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe.

Dzięki swojej zdolności do infiltracji strategicznych sektorów oraz ciągłemu udoskonalaniu metod ataku, Lazarus pozostaje jedną z najbardziej aktywnych cyberprzestępczych grup na świecie. Jej działania nie tylko zagrażają globalnemu bezpieczeństwu, ale także pomagają finansować programy zbrojeniowe Korei Północnej.

źródło: therecord.media, coindesk.com, forbes.com, informacja prasowa ESET

AKTUALNOŚCI

Z człowiekiem czy z botem? Fani rozgrywek multiplayer coraz częściej mówią: Dość!

Brytyjska firma Pulsar Fusion zapowiada rewolucję w podróżach kosmicznych – czy silniki fuzyjne to przyszłość kosmonautyki?

NVIDIA RTX PRO Blackwell – nowe rozwiązania dla profesjonalnych twórców kreatywnych, inżynierów oraz ekspertów od AI

TESTY I RECENZJE

OXS Thunder Pro+ – recenzja. Dźwięk przestrzenny tuż pod głową

HP ProBook 460 G11 – recenzja. Nowy-stary, dobry ProBook

Crucial E100 – recenzja. Następca Cruciala P3 tym razem na PCIe 4.0 x4

PORADNIKI

Ranking laptopów dla nauczycieli – na co zwrócić uwagę?

Wybieramy laptopa dla nauczyciela – jak poruszać się po konfiguracjach współczesnych notebooków? Praktyczny poradnik dla pedagogów i pracowników edukacji

Wzrost podatności cybernetycznych – jak skutecznie minimalizować ryzyko i chronić systemy IT?

TOP 5 – Najbardziej wyczekiwane gry pierwszej połowy 2025 roku

Top 5 laptopów pierwszej połowy 2023 roku

5 aplikacji do zamawiania jedzenia online.

Top 5 – najlepsze 14-calowe laptopy biurowe

PO GODZINACH

Sztuczna inteligencja nauczyła się ukrywać kłamstwa – nowe badania OpenAI

Gry komputerowe – wirtualna rozrywka, realne problemy

Amazon Ocelot – nowy procesor kwantowy z „kocimi kubitami”

HP ProBook 460 G11 – wideorecenzja

Crucial E100 – wideorecenzja (PL)

Motorola ThinkPhone 25 – wideorecenzja

Lenovo ThinkPad T14s Gen 6 (AMD) – wideorecenzja

share