Wie nordkoreanische Hacker 1,5 Milliarden US -Dollar Kryptowährung von Bybit Exchange gestohlen haben

In der Nacht vom 21. Februar loggte Ben Zhou, der Geschäftsführer der Cryptocurrency Exchange Bybit, an seinem Computer, um eine scheinbar routinemäßige Transaktion zu genehmigen.

The chief executive of the cryptocurrency exchange Bybit logged on to his computer on the night of Feb. 21 to approve what appeared to be a routine transaction. His company was moving a large sum of Ether, a popular digital currency, from one account to another.

Der Geschäftsführer der Cryptocurrency Exchange Bybit hat sich in der Nacht vom 21. Februar an seinem Computer angemeldet, um eine scheinbar routinemäßige Transaktion zu genehmigen. Sein Unternehmen bewegte eine große Summe von Äther, eine beliebte digitale Währung, von einem Konto zum anderen.

Thirty minutes later, the executive, Ben Zhou, got a call from Bybit’s chief financial officer. In a trembling voice, the executive told Mr. Zhou that their system had been hacked.

Dreißig Minuten später erhielt die Exekutive Ben Zhou einen Anruf von Bybits Chief Financial Officer. Mit zitternder Stimme teilte der Exekutive Herrn Zhou mit, dass ihr System gehackt worden sei.

“All of the Ethereum is gone,” he said.

"Das gesamte Ethereum ist weg", sagte er.

When Mr. Zhou approved the transaction, he had inadvertently handed control of an account to hackers backed by the North Korean government, who stole $1.5 billion in cryptocurrencies—the largest heist in the industry’s history.

Als Herr Zhou die Transaktion genehmigte, hatte er versehentlich die Kontrolle über ein Konto an Hacker übergeben, die von der nordkoreanischen Regierung unterstützt wurden, die Kryptowährungen in Höhe von 1,5 Milliarden US -Dollar stahl - dem größten Überfall in der Geschichte der Branche.

To pull off the astonishing breach, the hackers exploited a simple flaw in Bybit’s security: its reliance on a free software product. They penetrated Bybit by manipulating a system that the exchange used to safeguard hundreds of millions of dollars in customer deposits. For years, Bybit had used the storage software, developed by a technology provider called Safe, even as other security firms sold more specialized tools for businesses.

Um die erstaunliche Verstöße abzubauen, nutzten die Hacker einen einfachen Fehler in Bybits Sicherheit: sein Vertrauen in ein kostenloses Softwareprodukt. Sie drangen durch Bybit ein, indem sie ein System manipulierten, mit dem der Austausch Hunderte von Millionen Dollar an Kundeneinlagen schützt. Seit Jahren hat Bybit die Speichersoftware verwendet, die von einem Technologieanbieter namens Safer entwickelt wurde, auch als andere Sicherheitsunternehmen spezialisiertere Tools für Unternehmen verkauften.

The F.B.I. is investigating the theft, which occurred in February and March, according to people familiar with the matter. The agency said in a statement that it was aware of the threat posed by North Korean hackers, known as the Lazarus Group, and was working to identify and disrupt their illicit activities.

Das FBI untersucht den Diebstahl, der im Februar und März stattgefunden hat, nach Angaben von Menschen, die mit der Angelegenheit vertraut sind. Die Agentur sagte in einer Erklärung, dass es sich der Bedrohung durch nordkoreanische Hacker, die als Lazarus -Gruppe bekannt waren, bewusst sei und daran arbeite, ihre illegalen Aktivitäten zu identifizieren und zu stören.

“The F.B.I. is actively investigating malicious cyberactivity by the Lazarus Group, which poses a significant threat to individuals, businesses and national security,” the agency said.

"Das FBI untersucht aktiv böswillige Cyberaktivität durch die Lazarus -Gruppe, die eine erhebliche Bedrohung für Einzelpersonen, Unternehmen und nationale Sicherheit darstellt", sagte die Agentur.

The theft began in December, when the Lazarus Group set up a fake cryptocurrency hedge fund to try to gain the trust of employees at several exchanges, according to two people familiar with the matter. They contacted employees on LinkedIn and Telegram, posing as investors seeking to invest billions of dollars in cryptocurrency.

Der Diebstahl begann im Dezember, als die Lazarus -Gruppe einen gefälschten Kryptowährungs -Hedgefonds einrichtete, um zu versuchen, das Vertrauen der Mitarbeiter an mehreren Börsen zu gewinnen, so zwei mit der Angelegenheit vertraute Personen. Sie kontaktierten die Mitarbeiter in LinkedIn und Telegram und stellten sich als Investoren aus, die Milliarden von Dollar in Kryptowährung investieren wollten.

But the employees ignored the overtures, and the Lazarus Group couldn’t penetrate the exchanges’ main defenses, which were designed to deter hackers and prevent them from stealing coins directly from exchange wallets. So the hackers turned to Plan B: They went after the exchanges’ technology vendors.

Aber die Mitarbeiter ignorierten die Ouvertüren, und die Lazarus -Gruppe konnte die Hauptverteidigung der Börsen nicht durchdringen, die Hacker abschrecken und sie daran hindern, Münzen direkt aus Austauschbrieftaschen zu stehlen. Also wandten sich die Hacker in Plan B zu: Sie gingen nach den Technologieanbietern der Börsen.

The Lazarus Group had previously used this tactic to steal $100 million from the cryptocurrency platform Atomic Wallet in August, according to two people familiar with the matter. In that instance, the hackers went after a technology vendor that Atomic Wallet used for software to manage coins in hot wallets, which are digital wallets that hold smaller amounts of cryptocurrency and are used for daily operations.

Die Lazarus -Gruppe hatte zuvor diese Taktik verwendet, um im August 100 Millionen US -Dollar aus der Atomwallet der Kryptowährung zu stehlen, so zwei mit der Angelegenheit vertraute Personen. In diesem Fall haben die Hacker einen technologischen Anbieter verfolgt, den Atomwallet für Software zum Verwalten von Münzen in heißen Geldbörsen verwendete, bei denen es sich um digitale Geldbörsen handelt, die kleinere Mengen an Kryptowährung enthalten und für den täglichen Betrieb verwendet werden.

In the case of Bybit, the hackers went after a technology vendor that the exchange used for software to manage coins in cold wallets, which are digital wallets that hold larger amounts of cryptocurrency and are used for long-term storage.

Im Fall von Bybit haben die Hacker einen Technologieanbieter verfolgt, den der Austausch für Software zum Verwalten von Münzen in Kaltbrieftaschen, bei denen es sich um digitale Geldbörsen handelt, die größere Mengen an Kryptowährung enthalten und für langfristige Speicherung verwendet werden.

At the time, Bybit was using a service from a startup called ChainX to manage its hot wallets and a service from Safe to manage its cold wallets. Both startups sell software products that are designed to help businesses manage their cryptocurrency more efficiently.

Zu dieser Zeit nutzte Bitbit einen Dienst von einem Startup namens Chainx, um seine heißen Geldbörsen zu verwalten, und einen Service von Safe, um seine kalten Geldbörsen zu verwalten. Beide Startups verkaufen Softwareprodukte, mit denen Unternehmen ihre Kryptowährung effizienter verwalten können.

The hackers went after Safe because it offered a free tier of its cold-wallet management software, according to two people familiar with the matter. They were able to download the software and set up a fake version of the service.

Die Hacker gingen sicher, weil sie eine kostenlose Stufe seiner Kaltwallet-Management-Software bot, so zwei mit der Angelegenheit vertraute Personen. Sie konnten die Software herunterladen und eine gefälschte Version des Dienstes einrichten.

The startup also sells a paid tier of its service that offers more specialized security features, but Bybit wasn’t using this tier of the software. Instead, it was using the free tier of Safe’s service because it was designed for smaller businesses and didn’t require a large setup fee.

Das Startup verkauft auch eine kostenpflichtige Stufe seines Dienstes, die spezialisiertere Sicherheitsfunktionen bietet, aber Bitbit verwendet diese Stufe der Software nicht. Stattdessen nutzte es die kostenlose Stufe von Safes Service, da es für kleinere Unternehmen ausgelegt war und keine große Einrichtungsgebühr benötigte.

The hackers used this fact to their advantage. They created a fake version of Safe’s service and tried to get Bybit employees to use it to transfer coins. At first, the employees ignored the overtures. But then the hackers threatened to report the exchange to regulators if it didn’t cooperate.

Die Hacker nutzten diese Tatsache zu ihrem Vorteil. Sie erstellten eine gefälschte Version von Safes Service und versuchten, von den Mitarbeitern von Bitbit dazu zu bringen, Münzen zu übertragen. Zunächst ignorierten die Mitarbeiter die Ouvertüren. Aber dann drohten die Hacker, den Austausch den Aufsichtsbehörden zu melden, wenn er nicht zusammenarbeitete.

The exchange ultimately decided to transfer a small amount of Ether to the account that the hackers set up, hoping to appease them and get them to leave the company alone.

Die Börse beschloss letztendlich, eine kleine Menge Äthers auf das Konto zu übertragen, das die Hacker eingerichtet haben, in der Hoffnung, sie zu beschwichtigen und das Unternehmen in Ruhe zu lassen.

The hackers used this small transfer to gain the trust of a midlevel manager at Bybit, who began transferring larger sums of Ether to the account over several days.

Die Hacker verwendeten diese kleine Übertragung, um das Vertrauen eines Mid -Level -Managers bei Bybit zu gewinnen, der über mehrere Tage lang größere Summen von Äther auf das Konto übertragen begann.

Finally, on Feb. 21, the manager transferred nearly all of Bybit’s Ether holdings—about $1.5 billion—to an account controlled by the hackers.

Am 21. Februar überwies der Manager schließlich fast alle Äther -Holdings von Bybit - über 1,5 Milliarden US -Dollar - auf ein von den Hackern kontrollierter Konto.

The hackers then quickly moved the Ether to another cryptocurrency—PChain—and fled the scene.

Die Hacker bewegten dann schnell den Äther in eine andere Kryptowährung - Pchain - und flohen aus der Szene.

Bybit executives discovered the theft the next morning when they arrived at the office and saw that all of the exchange’s Ether had vanished. They immediately contacted the F.B.I., which began an investigation.

Die Führungskräfte von Bybit entdeckten den Diebstahl am nächsten Morgen, als sie im Büro ankamen und sahen, dass der gesamte Äther des Austauschs verschwunden war. Sie kontaktierten sofort das FBI, das eine Untersuchung begann.

The F.B.I. is still investigating the theft and hasn’t yet determined how the hackers were able to penetrate Bybit’s security systems. However, two people familiar with the matter said that the hackers may have been able to exploit a vulnerability in one of the startup’

Das FBI untersucht immer noch den Diebstahl und hat noch nicht festgestellt, wie die Hacker in der Lage waren, die Sicherheitssysteme von Bybit einzudringen. Zwei mit der Angelegenheit vertraute Personen sagten jedoch, dass die Hacker möglicherweise eine Verwundbarkeit in einem der Startups ausnutzen konnten.