Der Bybit-Raubzug: Wie Nordkorea 1,5 Milliarden in 47 Minuten stahl
21. Februar 2025. 12:30 Uhr koordinierte Weltzeit.
Im Operationszentrum von Bybit — einer in Dubai ansässigen Kryptowährungsbörse, die ein tägliches Handelsvolumen von mehreren zehn Milliarden Dollar abwickelt — beginnt eine geplante Übertragung.
Vierhunderttausenddreihundertsiebenundvierzig Ethereum-Token. Zu diesem Zeitpunkt etwa eineinhalb Milliarden Dollar. Die Übertragung ist Routine: von Bybit's Multisignatur-Cold-Wallet, die zur Sicherheit offline gehalten wird, zu einer Warm-Wallet, die für die operative Liquidität verwendet wird.
Drei leitende Bybit-Mitarbeiter müssen die Transaktion autorisieren. Sie öffnen die Safe{Wallet}-Oberfläche auf ihren Arbeitsstationen. Sie überprüfen die Zieladresse. Sie überprüfen die Transaktionsdetails. Alles stimmt mit dem erwarteten Vorgang überein.
Sie unterschreiben.
Eine Minute später sind vierhunderttausend Ethereum-Token verschwunden.
Nicht an die Warm-Wallet übertragen. Übertragen an eine von North Korea kontrollierte Adresse.
Es wurden keine Passwörter gestohlen. Es wurden keine privaten Schlüssel extrahiert. Es wurden keine Zugangsdaten durch Phishing erlangt. Bybit's eigene Infrastruktur wurde nicht kompromittiert. Die drei Unterzeichner taten genau das, was ihre Verfahren ihnen vorschrieben. Was sie auf ihren Bildschirmen sahen, genehmigten sie.
Was sie auf ihren Bildschirmen sahen, war eine Lüge.
Dies ist der größte einzelne Kryptowährungsdiebstahl, der jemals aufgezeichnet wurde. Es ist, nach der Klassifizierung der Guinness World Records, der größte Banküberfall in der Geschichte — er übertrifft sogar die eine Milliarde Dollar, die Saddam Hussein 2003 aus Iraq's Zentralbank erbeutete.
Er wurde durch die Änderung einer einzelnen Datei auf einer Website ausgeführt.
Der Angriff zielte nicht direkt auf Bybit ab.
Bybit's Infrastruktur — Server, Mitarbeiter-Arbeitsstationen, Signier-Hardware, interne Netzwerke — wurde nie durchdrungen. Jede nachfolgende forensische Untersuchung, durchgeführt von den unabhängigen Firmen Sygnia und Verichains, bestätigte dasselbe Ergebnis. Bybit wurde nicht gehackt.
Das Unternehmen, das gehackt wurde, war Safe — ehemals Gnosis Safe — die am weitesten verbreitete Multisignatur-Wallet-Plattform im Ethereum-Ökosystem. Safe betreibt die Weboberfläche unter app.safe.global, über die die meisten institutionellen Ethereum-Halter die Mehrparteien-Autorisierung großer Transaktionen verwalten.
Das Engineering-Team von Safe umfasst etwa dreißig Personen. Unter ihnen hat eine kleine Gruppe von Systemadministratoren Berechtigungen, den aktiven Produktions-Code und die bereitgestellte Weboberfläche zu ändern.
Etwa dreißig Tage vor dem 21. Februar wird einer dieser Systemadministratoren ins Visier genommen.
Der Vektor entspricht dem Vorgehen der nordkoreanischen Einheit, die intern vom Federal Bureau of Investigation als TraderTraitor verfolgt wird. Die Einheit ist eine Unterkomponente der umfassenderen Lazarus Group, die vom Third Bureau of North Korea's Reconnaissance General Bureau aus operiert.
Die spezifische Technik wird von Safe oder von den Ermittlern nicht öffentlich bekannt gegeben. Höchstwahrscheinlich: ein hochgradig zielgerichteter Social-Engineering-Ansatz, der über einen LinkedIn-Kontakt, ein Entwicklerforum oder einen Vorwand technischer Zusammenarbeit geleitet wird. Der Administrator lädt ein scheinbar legitimes technisches Artefakt herunter. Das Artefakt enthält Malware.
Die Malware stiehlt AWS-Sitzungstoken. Keine langlebigen Zugangsdaten — sondern die temporären Authentifizierungstoken, die die Entwickler von Safe während ihres normalen Arbeitstages verwenden, um auf Amazon Web Services zuzugreifen, wo die Weboberfläche von Safe gehostet wird.
Mit diesen Token erhalten die Angreifer Zugang zum AWS-Konto von Safe.
Sie extrahieren keine Daten. Sie setzen keine Ransomware ein. Sie versuchen keine laterale Bewegung durch die Infrastruktur.
Sie modifizieren eine JavaScript-Datei.
Die aus Safe's Amazon S3-Speicher-Bucket bereitgestellte Datei ist das Frontend-JavaScript, das die Transaktionsgenehmigungsoberfläche in den Browsern der Bybit-Unterzeichner rendert.
Die modifizierte Version enthält das, was forensische Ermittler später als bedingte bösartige Logik beschreiben.
Für die überwiegende Mehrheit der Safe-Nutzer — gewöhnliche Halter, andere Börsen, dezentrale Finanzprojekte — verhält sich das modifizierte JavaScript identisch zur legitimen Version. Die Oberfläche wird normal gerendert. Transaktionen werden wie erwartet verarbeitet. Nichts sieht falsch aus.
Der bösartige Code wird nur ausgeführt, wenn bestimmte Bedingungen erfüllt sind.
Diese Bedingungen sind präzise auf Bybit zugeschnitten.
Der Code prüft: Ist diese Sitzung gegen eine von drei spezifischen Wallet-Adressen authentifiziert? Handelt es sich bei der vorgeschlagenen Transaktion um eine Übertragung von Bybit's Ethereum-Cold-Wallet? Wenn beide Bedingungen wahr sind — fortfahren.
Sind beide Bedingungen wahr, fängt das bösartige JavaScript die Transaktionsdaten ab, kurz bevor sie den Unterzeichnern angezeigt werden. Es ersetzt die Transaktionslogik. Was die Unterzeichner auf ihrem Bildschirm sehen — Zieladresse, Betrag, Operationstyp — bleibt visuell identisch mit der beabsichtigten legitimen Übertragung.
Was sie tatsächlich unterschreiben, ist ein `delegatecall` an einen von North Korea kontrollierten Vertrag.
In Ethereum ist `delegatecall` ein Primitiv, das es einem Smart Contract ermöglicht, Code im Kontext eines anderen auszuführen — mit vollem Zugriff auf den Speicher und die Gelder des Aufrufenden. Wenn ein Unterzeichner eine Transaktion genehmigt, die einen `delegatecall` enthält, überweist er nicht nur Gelder. Er gewährt dem aufgerufenen Vertrag die volle Kontrolle über die aufrufende Wallet.
Indem sie genehmigen, was sie für eine routinemäßige Übertragung halten, gewähren die drei Bybit-Unterzeichner einem von North Korea kontrollierten Vertrag die vollständige Eigentümerschaft an ihrer Cold-Wallet.
Der Angreifer leert sie dann.
Vierhunderttausenddreihundertsiebenundvierzig Ethereum-Token. Eineinhalb Milliarden Dollar.
Alle drei Unterzeichner hatten die Mehrfaktorauthentifizierung für ihre Konten aktiviert. Alle drei hatten aktive Hardware-Sicherheitsschlüssel. Nichts davon spielte eine Rolle. Die Täuschung geschah auf der Ebene oberhalb der Authentifizierung — auf der Ebene, wo die eigenen Augen des Unterzeichners interpretieren, was der Unterzeichner genehmigen soll.
Zwei Minuten nachdem die Transaktion auf dem Ethereum-Mainnet landet, wird das bösartige JavaScript auf Safe's Website gelöscht.
Die modifizierte Datei wird durch die legitime Version ersetzt. Jeder nachfolgende Besucher von app.safe.global erhält sauberen Code. Die Beweise sind aus der Live-Umgebung verschwunden.
Doch Safe's Infrastruktur war nicht der einzige Ort, an dem die Datei bereitgestellt wurde. Wayback Machine-Archive — das öffentliche Archiv des Internets, das vom Internet Archive gepflegt wird — hatten die bösartige Version während ihres aktiven Bereitstellungsfensters erfasst. Wenn Ermittler den Angriff rekonstruieren, wird die archivierte Datei zum zentralen forensischen Beweismittel. Die Angreifer hatten nicht damit gerechnet, dass das öffentliche Webarchiv stillschweigend Kopien ihres Exploits anfertigte.
Bybit's Erkennungssysteme melden die Anomalie innerhalb von Minuten. CEO Ben Zhou bestätigt den Diebstahl innerhalb weniger Stunden öffentlich. Blockchain-Analysefirmen beginnen, das gestohlene Ethereum in Echtzeit zu verfolgen.
Die Geldwäscheoperation hat bereits begonnen.
North Korea's Methodik der Kryptowährungs-Geldwäsche ist ausgereift.
Innerhalb der ersten achtundvierzig Stunden nach dem Diebstahl schätzen Blockchain-Analysten, dass etwa einhundertsechzig Millionen Dollar in Ethereum erfolgreich über dezentrale Börsen und Cross-Chain-Bridges gewaschen wurden. Die Vermögenswerte werden konvertiert, fragmentiert, durch Datenschutzprotokolle gemischt und über Tausende von Blockchain-Adressen rekonstituiert.
Das bevorzugte Konvertierungsziel ist Bitcoin.
Bitcoin's Transaktionsmodell verwendet Unspent Transaction Outputs — eine Struktur, die jede Transaktion als diskrete Einheit behandelt, analog zu physischem Bargeld. Das Verfolgen eines spezifischen Dollarwerts durch Bitcoin erfordert das Verfolgen individueller UTXOs über viele Adressen hinweg, eine exponentiell komplexere forensische Aufgabe als das Verfolgen eines Ethereum-Kontos.
North Korea's Geldwäsche-Einheit, vom FBI als TraderTraitor bezeichnet, konvertiert den größten Teil des gestohlenen Ethereum innerhalb der ersten Woche in Bitcoin.
Das FBI gibt am 26. Februar 2025 — fünf Tage nach dem Angriff — eine öffentliche Bekanntmachung heraus, in der der Diebstahl formell North Korea zugeschrieben wird. Das Büro veröffentlicht einundfünfzig Ethereum-Adressen, die als Teil der Geldwäsche-Infrastruktur identifiziert wurden. Es fordert Börsen, dezentrale Finanzplattformen und Blockchain-Intelligence-Firmen auf, Transaktionen zu blockieren, die von diesen Adressen stammen.
Die Zuschreibung ist nach den Standards von Cyberangriffsermittlungen von Nationalstaaten schnell. Sie wird durch Mustererkennung ermöglicht.
Die Adressen, die zum Verschieben von Bybit's gestohlenen Geldern verwendet wurden, überschneiden sich an bestimmten Punkten mit Adressen, die bei früheren Kryptowährungsdiebstählen verwendet wurden — dem Phemex-Diebstahl von 2024, dem BingX-Diebstahl von 2024, dem Poloniex-Diebstahl von 2023. Blockchain-Intelligence-Firmen Elliptic und TRM Labs, zusammen mit dem unabhängigen Ermittler ZachXBT, stellen die Überschneidungen innerhalb weniger Tage fest.
Dieselbe Betreiber verwenden dieselbe Geldwäsche-Infrastruktur bei wiederholten Überfällen. Die Infrastruktur ist die Signatur.
Kontext zur Größenordnung.
Laut mehreren Blockchain-Intelligence-Firmen haben die Lazarus Group und ihre Unterkomponenten über einen Zeitraum von mehreren Jahren geschätzte 3,4 bis über 6 Milliarden Dollar an Kryptowährung gestohlen. Allein im Jahr 2024 beliefen sich die mit North Korea verbundenen Diebstähle auf über zwei Milliarden Dollar.
Bybit's eineinhalb Milliarden Dollar, die in einer einzigen Operation erbeutet wurden, übersteigen den nächstgrößten Einzelüberfall — den Diebstahl von dreihundertacht Millionen Dollar im Jahr 2024 von Japan's DMM Bitcoin-Börse — um das Fünffache.
Die Gelder fließen über Geldwäschenetzwerke auf Konten, die von der Democratic People's Republic of Korea-Regierung kontrolliert werden. Treasury Department-Bestimmungen haben wiederholt festgestellt, dass diese Konten North Korea's Waffenprogramme finanzieren, einschließlich der Entwicklung ballistischer Raketen und seines Atomprogramms.
Bybit seinerseits überlebt. Das Unternehmen ist solvent. Innerhalb weniger Stunden nach dem Diebstahl arrangiert CEO Ben Zhou Überbrückungskredite und strategische Zuflüsse von anderen institutionellen Haltern, um die Reserven aufzufüllen. Kundengelder bleiben geschützt. Kein Benutzer verlor eingezahlte Vermögenswerte.
Die Börse startet ein Wiederherstellungs-Belohnungsprogramm und bietet bis zu zehn Prozent der wiedererlangten Gelder denen an, die bei der Nachverfolgung oder Beschlagnahmung helfen.
Die überwiegende Mehrheit des gestohlenen Ethereum wurde nicht wiederhergestellt.
Die ungelösten Elemente dieser Fallakte sind struktureller Natur.
Bybit hat nach den Standards der Best Practices für die Verwahrung von Kryptowährungen nichts falsch gemacht. Es nutzte Cold Storage für seine Reserven. Es nutzte Multisignatur-Autorisierung für Übertragungen. Es nutzte einen seriösen Drittanbieter für die Schnittstelle. Es nutzte Hardware-Sicherheitsschlüssel für seine Unterzeichner. Jede defensive Kontrolle, die die Branche empfiehlt, hat Bybit implementiert.
Der Angriff umging all diese, indem er eine Schicht außerhalb der Kontrolle von Bybit kompromittierte.
Safe, der Schnittstellenanbieter, bedient Tausende institutionelle Kunden. Jeder dieser Kunden hätte das Ziel sein können. Bybit wurde ausgewählt, weil die Angreifer durch ihre anfängliche Aufklärung die Cold-Wallet-Adressen und Transaktionsmuster im Voraus identifiziert hatten. Das bedingte JavaScript wurde um diese spezifischen Datenpunkte herum entwickelt.
Die zugrunde liegende architektonische Schwachstelle ist allgemein, nicht spezifisch.
Jede Weboberfläche, die zum Signieren von Kryptowährungstransaktionen verwendet wird, ist per Definition ein potenzieller Punkt für Anzeigemanipulation. Wenn die Oberfläche subtil modifiziert werden kann — durch Kompromittierung ihrer Hosting-Infrastruktur, ihres Content Delivery Networks, ihres Quellcode-Repositorys oder ihrer Bereitstellungspipeline — kann ein Unterzeichner in den meisten Implementierungen nicht unabhängig überprüfen, was er tatsächlich unterschreibt.
Hardware-Wallets mit unabhängiger Transaktionsanzeige sind eine teilweise Minderung. Aber viele Hardware-Wallets dekodieren komplexe Transaktionsstrukturen wie `delegatecall` nicht in menschenlesbarer Form. Sie zeigen einen rohen Hash. Ein Benutzer, der auf eine vierundsechzig Zeichen lange hexadezimale Zeichenfolge starrt, kann deren Bedeutung nicht durch Inspektion überprüfen.
Der Benutzer muss der Schnittstelle vertrauen.
North Korea demonstrierte am 21. Februar 2025 die Kosten dieses Vertrauens.
Fragment Zero wird die Fallakte verfolgen.
Die gestohlenen Gelder fragmentieren sich weiterhin über die globale Blockchain. Teile bleiben statisch in Adressen, die markiert und sanktioniert wurden. Teile bewegen sich weiter. Die vom FBI identifizierten einundfünfzig Adressen sind auf mehrere hundert angewachsen, über mehrere Chains hinweg.
Der Entwickler bei Safe, dessen Maschine kompromittiert wurde, wurde nicht öffentlich namentlich genannt. Der spezifische Social-Engineering-Vektor, der verwendet wurde, um ihn zu erreichen, wurde nicht öffentlich detailliert.
Die Lazarus Group operiert weiterhin. In den Monaten nach dem Bybit-Diebstahl wurden kleinere, aber immer noch erhebliche Diebstähle — im Wert von mehreren zehn Millionen Dollar — derselben Infrastruktur zugeschrieben.
Die tiefere Frage ist nicht, ob Kryptowährung gestohlen werden kann.
Die tiefere Frage ist, wie viel Finanzinfrastruktur heute auf einer kleinen Anzahl von Open-Source-Schnittstellenprojekten basiert — die von kleinen Teams gewartet, über Live-Bereitstellungspipelines aktualisiert und über Webbrowser konsumiert werden — und die zwischen Milliarden von Dollar an Vermögenswerten und den Menschen, die sie autorisieren, sitzen.
In diesem Fall war die Anzahl der Personen, die den größten Diebstahl der Geschichte hätten verhindern können, eine. Und er hat auf etwas geklickt.
