Bybit hack: Tutti i dettagli del più grande hack della storia
Di Daniele Corno
A mente fredda, ripercorriamo insieme gli eventi dell'hack di Bybit, il più grande della storia crypto e non: dove siamo ora?
Le dinamiche dell'evento
Durante una transazione di routine, il team di Bybit al controllo di un multi-signature cold wallet è stato vittima di un attacco coordinato.
L’attacco è stato mirato ai firmatari del wallet in questione, attraverso una modifica nell’interfaccia grafica di SAFE, (ex Gnosis Safe), la piattaforma a cui il team si è affidato per la creazione e gestione del multisig.
Con questa modifica, gli attaccanti hanno mostrato ai firmatari una transazione legittima quando, nel pratico, le firme dei partecipanti stavano approvando una modifica alle logiche del wallet costruito su SAFE.
Con l’ultima firma, apposta dal CEO Ben Zhou, il gruppo di attaccanti ha avuto libero accesso allo specifico portafoglio, da cui è partito l’attacco. Il risultato è stato una sottrazione delle somme presenti in foto.
I movimenti del/degli Hacker
L’attaccante si è immediatamente messo all’opera, convertendo in primo luogo gli stETH e mETH in ETH e successivamente, distribuendo il maltolto verso molteplici indirizzi.
In nostro supporto viene Arkham, il quale ha raggruppato tutti gli indirizzi di destinazione in un’unica dashboard, comprendente i 53 indirizzi interessati.
WE’VE COMPILED A LIST OF BYBIT HACKER WALLETS
The Bybit Hacker currently holds $1.37B of ETH and has used 53 wallets so far.
Wallet list below: pic.twitter.com/oQK1MhYkqg
— Arkham (@arkham) February 21, 2025
Nel corso delle ore successive, mentre l’intera community si è messa alla ricerca del colpevole, Arkham ha messo a disposizione un Bug Bounty da 50k token Arkham come premio a chiunque fosse riuscito a rintracciare l’attaccante.
Sono bastate poche ore per far si che Zach XBT, colui che per primo ha diffuso la notizia dell’hack, riuscisse a fornire una risposta.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
— Arkham (@arkham) February 21, 2025
Dietro l’attacco si cela l’organizzazione Lazarus Group, di matrice nord coreana, autore di innumerevoli attacchi all’interno del settore. L’organizzazione è infatti coinvolta in diversi hack, come:
- Hack di Atomic Wallet, importo $100 milioni.
- Hack di Stake.com, importo circa $40 milioni.
- Hack del bridge Ronin di Axie Infinity, importo $620 milioni.
- Hack di Horizon Bridge di Harmony, importo di $100 milioni.
La gestione, "Ottima" da parte di Bybit
A differenza di innumerevoli attacchi nel settore, possiamo toglierci il cappello di fronte ad una quantomeno puntuale gestione da parte del team di Bybit.
Sebbene l’entità del danno sia stata di enorme portata, il team, grazie ad una comunicazione dettagliata e tempestiva, è riuscito a gestire, forse nel migliore dei modi, l’attacco.
In primo luogo, la comunicazione da parte del CEO Ben Zhou ha aiutato nella gestione degli eventi. Fin da subito infatti, successivamente alla comunicazione dell’incidente, Zhou ha affermato che nonostante il capitale sottratto, l’exchange era in possesso di risorse 1:1 per coprire tutti i fondi degli utenti.
Una rassicurazione che, a pochi giorni dai primi rimborsi a seguito della bancarotta di FTX, ha aiutato a placare, per quanto possibile, la FUD e la corsa agli sportelli.
Corsa agli sportelli che come vedremo a breve, è stata rapida da parte degli utenti. Essi infatti sono corsi immediatamente al riparo prima di incorrere in qualsiasi tipo di problema.
Liquidità di Bybit e prelievi da miliardi
A seguito dell’hack, Zhou e il team hanno tenuto una live su Youtube e X per condividere in tempo reale l’evoluzione degli eventi.
Come auspicabile, migliaia di utenti sono corsi a prelevare i fondi e, secondo quanto riportato, questo ammontare si aggira nell’ordine delle 350.000 richieste di prelievo.
La decisione di mantenere attiva la piattaforma e i prelievi, si è rivelata a posteriori la scelta vincente da parte di Bybit.
Secondo quanto riportato dal CEO infatti, nonostante la grandissima mole di richieste, seppur con qualche ritardo nell’ordine di qualche ora, l’exchange è riuscito ad elaborare la quasi totalità dei prelievi richiesti. Una decisione rischiosa, ma che si è dimostrata vincente per l’intera community.
Since the hack (10 hrs ago) , Bybit has experienced the most number of withdraws that we have ever seen, We have had a total number of more than 350k withdraws requests, so far, around 2100 withdraw requests left to be processed. Overall 99. 994% withdraws have been completed. If…
— Ben Zhou (@benbybit) February 22, 2025
L’unica nota da aggiungere in questo caso, è che, a seguito della sottrazione dell’importo in ETH sopracitato, i prelievi degli ETH dei clienti sono stati gestiti attraverso partner terzi.
Bybit ha infatti ricevuto ETH a prestito da partner terzi e Whale, pari a circa l’80% delle somme sottratte, una scelta discutibile ma che ha permesso di non lasciare prelievi in sospeso e di non dover affrontare un’ingente acquisto di ETH a mercato.
Secondo quanto riportato da Defillama, la mole di prelievi sommata all’importo in ETH sottratto, ha estratto quasi $7 miliardi di dollari dalle riserve di Bybit. Il valore attuale si attesta infatti a circa $11.28 miliardi rispetto ai $17 miliardi posseduti pre-hack.
Ultimi aggiornamenti e considerazioni finali
I movimenti da parte dell’attaccante continuano. Al momento della scrittura, ha appena elaborato un’ultima transazione in uscita da 5.000 ETH verso un nuovo indirizzo.
Nella mattinata odierna invece, come riportato da Zhou, l’attaccante ha iniziato a convertire parte dei fondi in Bitcoin, utilizzando il Bridge Chainflip.
We are starting to see some funds being moved to https://t.co/O4AqIJo81z as bridge to convert to BTC: bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq
with below transactions:
0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…— Ben Zhou (@benbybit) February 22, 2025
La domanda che molti si stanno facendo è infatti: “Cosa potrà farne l’hacker di questi fondi?“.
La conversione verso stablecoin centralizzate permetterebbe agli emittenti come Tether e Circle di freezare immediatamente i fondi, mentre l’uscita attraverso altri exchange sarebbe immediatamente bloccata e segnalata alle autorità.
Oltre all’attacco quindi, il gruppo dovrà calcolare bene le sue mosse in quanto, tutti gli occhi sono ora puntati su questi asset sottratti, che addirittura hanno fatto partire discussioni relative ad una possibile riorganizzazione della blockchain di Ethereum.
In conclusione, seppur trarre una conclusione sia più difficile che altro, ciò che ci viene da dire è:
“Le vulnerabilità all’interno di questo settore sono all’ordine del giorno. Non tanto per la tecnologia quanto per gli errori umani che possono compromettere i propri fondi. Affidarsi a piattaforme centralizzate significa delegare il rischio di custodia nelle mani di altri utenti – umani – i quali, seppur considerati professionisti del settore, possono essere vittima di attacchi, raggiri e manipolazioni”.
La self-custody è la soluzione più sicura ed efficiente ma comporta delle competenze che devono essere apprese. Ci auguriamo quindi che tu possa dedicare del tempo per imparare a custodire i tuoi asset con la massima sicurezza possibile.
Seguici sui nostri canali YouTube e Telegram: troverai tanti altri aggiornamenti, tutorial e approfondimenti per essere sempre sul pezzo!
