В пятницу, 21 февраля, официальный аккаунт криптобиржи Bybit сообщил о взломе одного из своих Ethereum-кошельков. Злоумышленникам удалось перевести хранившуюся там криптовалюту на неизвестный адрес. Чуть позже основатель Bybit Бен Чжоу рассказал, что общий ущерб от хакерской атаки — примерно 401 тысяча ETH. На момент взлома эта сумма равнялась примерно 1,4 миллиарда долларов.
На следующий день после ограбления пользователь с ником ZachXBT, который специализируется на расследованиях, связанных с криптовалютой, нашел доказательства, что за взломом Bybit стоят хакеры из северокорейской группировки Lazarus Group. В комментарии TechCrunch он заявил, что уверен в своих выводах на 100 процентов.
Благодаря тому, что все записи в блокчейне публичны, расследователь смог проследить движения похищенных средств до криптокошельков, которые уже использовали при взломе других бирж. Во всех случаях атаки были связаны с Северной Кореей.
Всего ZachXBT обнаружил больше 900 адресов, связанных со взломом Bybit, а также замешанных в дальнейшем отмывании средств. Причастность Lazarus Group подтвердили и специалисты аналитической компании Elliptic.
Группировка Lazarus Group существует как минимум с 2009 года. За это время хакеры провели ряд серьезных атак. С 2019 года Lazarus Group находится в санкционных списках США, наряду еще с несколькими хакерскими командами, которые, по данным американских властей, напрямую связаны с властями Северной Кореи.
Эксперты NCC Group предполагают, что все атаки Lazarus Group санкционированы правительством КНДР, так как в стране нет свободного интернета и заниматься подобной деятельностью самостоятельно невозможно. Они также допускают, что основное компьютерное образование северокорейские хакеры получают в Китае.