Dubai-gebaseerde cryptobeurs Bybit Technology Ltd. is het slachtoffer geworden van een grootschalige hack, waarbij ongeveer $1,5 miljard aan cryptocurrency werd gestolen. Dit wordt beschouwd als de grootste individuele diefstal in de geschiedenis van cryptocurrency.
Bybit, een gerenommeerde cryptobeurs met meer dan 60 miljoen gebruikers, behoort regelmatig tot de top vijf beurzen wereldwijd op basis van handelsvolume.
Gestolen cryptocurrency
De hack werd op 21 februari bekendgemaakt. Bybit meldde dat een aanvaller de controle had gekregen over een Ethereum-wallet en de tegoeden naar een onbekend adres had overgemaakt. De aanval vond plaats tijdens een routinematige overdracht van Bybits offline ‘cold’ wallet naar een ‘warm’ wallet voor dagelijkse handelsactiviteiten. Hackers wisten kwetsbaarheden in dit proces te misbruiken om ongeautoriseerde toegang te krijgen tot de cold wallet en ongeveer 401.000 ETH over te maken.
“Deze transactie werd helaas gemanipuleerd via een geavanceerde aanval die de onderliggende smart contract-logica wijzigde”, verklaarde Bybit op X. “Daardoor kon de aanvaller controle krijgen over de getroffen ETH cold wallet en de tegoeden naar een onbekend adres verplaatsen.”
Opvangen verlies
In reactie op de aanval verzekerde medeoprichter en CEO Ben Zhou gebruikers dat alle klantactiva één-op-één worden gedekt en dat het bedrijf over meer dan $20 miljard aan reserves beschikt om de verliezen op te vangen. Bovendien biedt Bybit tien procent van de teruggewonnen fondsen als beloning aan ethische cyber- en netwerkbeveiligingsexperts die helpen bij het terughalen van de gestolen cryptocurrency.
Desondanks leidde de aanval direct tot een terugtrekking van fondsen door gebruikers, die vrezen voor het voortbestaan van de beurs. Volgens CoinDesk is er sinds de hack $5,5 miljard aan tegoeden van Bybit weggehaald, inclusief de gestolen fondsen.
Noord-Koreaanse Link
Kort na de aanval startten onderzoekers een zoektocht naar de daders. Het duurde niet lang voordat de oorsprong van de aanval werd gelinkt aan Noord-Korea en specifiek aan de Lazarus Group. Dit beruchte hackerscollectief heeft eerder cyberaanvallen uitgevoerd, waaronder de Sony Pictures-hack in 2014 en de WannaCry-ransomwareaanval in 2017. Daarnaast werd de groep in 2024 gelinkt aan de diefstal van 4.500 bitcoins van de Japanse cryptobeurs DMM Bitcoin.
Onderzoeksgroep Arkham Intelligence bevestigde de connectie en meldde dat cybersecurityonderzoeker ZachXBT overtuigend bewijs had gevonden van de betrokkenheid van Lazarus Group.