У п’ятницю, 21 лютого, офіційний акаунт криптобіржі Bybit повідомив про злом одного зі своїх Ethereum-гаманців. Зловмисникам вдалося перевести криптовалюту, що зберігалася там, на невідому адресу. Трохи пізніше засновник Bybit Бен Чжоу розповів, що загальний збиток від хакерської атаки – приблизно 401 тисяча ETH. На момент злому ця сума дорівнювала приблизно 1,4 мільярда доларів.
Наступного дня після пограбування користувач із ніком ZachXBT, який спеціалізується на розслідуваннях, пов’язаних із криптовалютою, знайшов докази, що за зломом Bybit стоять хакери з північнокорейського угруповання Lazarus Group. У коментарі TechCrunch він заявив, що впевнений у своїх висновках на 100 відсотків.
Завдяки тому, що всі записи в блокчейні публічні, розслідувач зміг простежити рух викрадених коштів до криптогаманців, які вже використовували під час злому інших бірж. У всіх випадках атаки були пов’язані з Північною Кореєю.
Загалом ZachXBT виявив понад 900 адрес, пов’язаних зі зламом Bybit, а також замішаних у подальшому відмиванні коштів. Причетність Lazarus Group підтвердили і фахівці аналітичної компанії Elliptic.
Угруповання Lazarus Group існує щонайменше з 2009 року. З 2019 року Lazarus Group перебуває в санкційних списках США, поряд ще з кількома хакерськими командами, які, за даними американської влади, безпосередньо пов’язані з владою Північної Кореї.
Експерти NCC Group припускають, що всі атаки Lazarus Group санкціоновані урядом КНДР, оскільки в країні немає вільного інтернету і займатися такою діяльністю самостійно неможливо. Вони також припускають, що основну комп’ютерну освіту північнокорейські хакери здобувають у Китаї.