Il colpo Bybit: Come la Corea del Nord ha rubato 1,5 miliardi in 47 minuti
21 febbraio 2025. 12:30 PM Tempo Coordinato Universale.
All'interno del centro operativo di Bybit — un exchange di criptovalute con sede a Dubai, che gestisce decine di miliardi di dollari in volume di scambi giornalieri — inizia un trasferimento programmato.
Quattrocentounomila trecentoquarantasette token Ethereum. Circa un miliardo e mezzo di dollari in quel momento. Il trasferimento è di routine: dal cold wallet multisignature di Bybit, tenuto offline per sicurezza, a un warm wallet utilizzato per la liquidità operativa.
Tre dipendenti senior di Bybit sono tenuti ad autorizzare la transazione. Aprono l'interfaccia Safe{Wallet} sulle loro workstation. Esaminano l'indirizzo di destinazione. Esaminano i dettagli della transazione. Tutto corrisponde all'operazione prevista.
Firmano.
Un minuto dopo, quattrocentounomila token Ethereum sono spariti.
Non trasferiti al warm wallet. Trasferiti a un indirizzo controllato dalla North Korea.
Nessuna password è stata rubata. Nessuna chiave privata è stata estratta. Nessuna credenziale è stata ottenuta tramite phishing. L'infrastruttura stessa di Bybit non è stata compromessa. I tre firmatari hanno fatto esattamente ciò che le loro procedure istruivano loro di fare. Ciò che hanno visto sui loro schermi, lo hanno approvato.
Ciò che hanno visto sui loro schermi era una menzogna.
Questo è il più grande furto di criptovalute singolo mai registrato. È, secondo la classificazione del Guinness World Records, la più grande rapina bancaria della storia — superando persino il miliardo di dollari che Saddam Hussein ha estratto dalla banca centrale dell'Iraq nel 2003.
È stato eseguito modificando un singolo file su un sito web.
L'attacco non ha preso di mira Bybit direttamente.
L'infrastruttura di Bybit — server, workstation dei dipendenti, hardware di firma, reti interne — non è mai stata penetrata. Ogni successiva indagine forense, condotta dalle aziende indipendenti Sygnia e Verichains, ha confermato lo stesso risultato. Bybit non è stato hackerato.
L'azienda che è stata hackerata è Safe — precedentemente Gnosis Safe — la piattaforma di wallet multisignature più utilizzata nell'ecosistema Ethereum. Safe mantiene l'interfaccia web all'indirizzo app.safe.global attraverso la quale la maggior parte dei detentori istituzionali di Ethereum gestisce l'autorizzazione multi-party di grandi transazioni.
Il team di ingegneria di Safe conta circa trenta persone. Tra questi, un piccolo gruppo di amministratori di sistema ha i permessi per modificare il codebase di produzione live e l'interfaccia web distribuita.
Circa trenta giorni prima del 21 febbraio, uno di questi amministratori di sistema viene preso di mira.
Il vettore è coerente con il modus operandi dell'unità nordcoreana tracciata internamente dal Federal Bureau of Investigation come TraderTraitor. L'unità è un sottocomponente del più ampio Lazarus Group, operante dal Third Bureau of North Korea's Reconnaissance General Bureau.
La tecnica specifica non è stata divulgata pubblicamente da Safe o dagli investigatori. Molto probabilmente: un approccio di ingegneria sociale altamente mirato, instradato tramite un contatto LinkedIn, un forum di sviluppatori o un pretesto di collaborazione tecnica. L'amministratore scarica quello che sembra essere un artefatto tecnico legittimo. L'artefatto contiene malware.
Il malware ruba i token di sessione AWS. Non credenziali di lunga durata — ma i token di autenticazione temporanei che gli sviluppatori di Safe utilizzano durante la loro normale giornata lavorativa per accedere ad Amazon Web Services, dove è ospitata l'interfaccia web di Safe.
Con quei token, gli attaccanti ottengono l'accesso all'account AWS di Safe.
Non estraggono dati. Non distribuiscono ransomware. Non tentano movimenti laterali attraverso l'infrastruttura.
Modificano un file JavaScript.
Il file servito dal bucket di archiviazione Amazon S3 di Safe è il JavaScript frontend che rende l'interfaccia di approvazione delle transazioni nei browser dei firmatari di Bybit.
La versione modificata contiene ciò che gli investigatori forensi descrivono in seguito come logica malevola condizionale.
Per la stragrande maggioranza degli utenti Safe — detentori ordinari, altri exchange, progetti di finanza decentralizzata — il JavaScript modificato si comporta in modo identico alla versione legittima. L'interfaccia viene visualizzata normalmente. Le transazioni vengono elaborate come previsto. Nulla sembra anomalo.
Il codice malevolo viene eseguito solo quando vengono soddisfatte condizioni specifiche.
Queste condizioni sono state progettate precisamente per Bybit.
Il codice verifica: questa sessione è autenticata con uno dei tre indirizzi wallet specifici? La transazione proposta è un trasferimento dal cold wallet Ethereum di Bybit? Se entrambe le condizioni sono vere — procedere.
Se entrambe le condizioni sono vere, il JavaScript malevolo intercetta i dati della transazione appena prima che vengano visualizzati ai firmatari. Sostituisce la logica della transazione. Ciò che i firmatari vedono sul loro schermo — indirizzo di destinazione, importo, tipo di operazione — rimane visivamente identico al trasferimento legittimo previsto.
Ciò che stanno effettivamente firmando è un `delegatecall` a un contratto controllato dalla North Korea.
In Ethereum, `delegatecall` è una primitiva che permette a uno smart contract di eseguire codice nel contesto di un altro — con pieno accesso allo storage e ai fondi del chiamante. Quando un firmatario approva una transazione che include un `delegatecall`, non sta semplicemente trasferendo fondi. Sta concedendo al contratto chiamato il pieno controllo sul wallet chiamante.
Approvando quello che credono essere un trasferimento di routine, i tre firmatari di Bybit concedono a un contratto controllato dalla North Korea la proprietà totale del loro cold wallet.
L'attaccante lo svuota.
Quattrocentounomila trecentoquarantasette token Ethereum. Un miliardo e mezzo di dollari.
Tutti e tre i firmatari avevano l'autenticazione a più fattori abilitata sui loro account. Tutti e tre avevano chiavi di sicurezza hardware attive. Nulla di tutto ciò ha avuto importanza. L'inganno è avvenuto a un livello superiore all'autenticazione — al livello in cui gli occhi del firmatario interpretano ciò che gli viene chiesto di approvare.
Due minuti dopo che la transazione è approdata sulla mainnet di Ethereum, il JavaScript malevolo sul sito web di Safe viene eliminato.
Il file modificato viene sostituito con la versione legittima. Qualsiasi visitatore successivo di app.safe.global riceve codice pulito. Le prove scompaiono dall'ambiente live.
Ma l'infrastruttura di Safe non è l'unico luogo da cui il file è stato servito. Gli archivi di Wayback Machine — l'archivio pubblico del web mantenuto dall'Internet Archive — avevano catturato la versione malevola durante la sua finestra di distribuzione attiva. Quando gli investigatori ricostruiscono l'attacco, il file archiviato diventa una prova forense centrale. Gli attaccanti non avevano previsto che l'archivio web pubblico stesse silenziosamente facendo copie del loro exploit.
I sistemi di rilevamento di Bybit segnalano l'anomalia in pochi minuti. Il CEO Ben Zhou conferma pubblicamente il furto entro poche ore. Le aziende di analisi blockchain iniziano a tracciare l'Ethereum rubato in tempo reale.
L'operazione di riciclaggio è già iniziata.
La metodologia di riciclaggio di criptovalute della North Korea è matura.
Entro le prime quarantotto ore dal furto, gli analisti blockchain stimano che circa centosessanta milioni di dollari in Ethereum vengano riciclati con successo attraverso exchange decentralizzati e ponti cross-chain. Gli asset vengono convertiti, frammentati, miscelati tramite protocolli di privacy e ricostituiti attraverso migliaia di indirizzi blockchain.
L'obiettivo di conversione preferito è Bitcoin.
Il modello di transazione di Bitcoin utilizza Unspent Transaction Outputs — una struttura che tratta ogni transazione come un'unità discreta, analoga al contante fisico. Tracciare un valore specifico in dollari attraverso Bitcoin richiede di seguire singole UTXO attraverso molti indirizzi, un compito forense esponenzialmente più complesso rispetto al tracciamento di un account Ethereum.
L'unità di riciclaggio della North Korea, designata dall'FBI come TraderTraitor, converte la maggior parte dell'Ethereum rubato in Bitcoin entro la prima settimana.
L'FBI emette un annuncio di servizio pubblico il 26 febbraio 2025 — cinque giorni dopo l'attacco — attribuendo formalmente il furto alla North Korea. L'agenzia rilascia cinquantuno indirizzi Ethereum identificati come parte dell'infrastruttura di riciclaggio. Invita gli exchange, le piattaforme di finanza decentralizzata e le aziende di intelligence blockchain a bloccare le transazioni derivanti da tali indirizzi.
L'attribuzione è rapida secondo gli standard delle indagini sugli attacchi informatici statali. È resa possibile dalla corrispondenza dei modelli.
Gli indirizzi utilizzati per spostare i fondi rubati di Bybit si sovrappongono, in punti specifici, con indirizzi utilizzati in precedenti furti di criptovalute — il furto Phemex del 2024, il furto BingX del 2024, il furto Poloniex del 2023. Le aziende di intelligence blockchain Elliptic e TRM Labs, insieme all'investigatore indipendente ZachXBT, stabiliscono le sovrapposizioni entro pochi giorni.
Gli stessi operatori gestiscono la stessa infrastruttura di riciclaggio attraverso ripetute rapine. L'infrastruttura è la firma.
Contesto per la scala.
Secondo diverse aziende di intelligence blockchain, il Lazarus Group e i suoi sottocomponenti hanno rubato, in un periodo di più anni, una stima di 3,4-6 miliardi di dollari in criptovalute. Solo nel 2024, i furti legati alla North Korea hanno rappresentato oltre due miliardi di dollari.
Il miliardo e mezzo di dollari di Bybit, sottratto in una singola operazione, supera il successivo più grande furto singolo — il furto di trecentootto milioni di dollari del 2024 dall'exchange DMM Bitcoin del Japan — di un fattore di cinque.
I fondi confluiscono, attraverso reti di riciclaggio, in conti controllati dal governo della Democratic People's Republic of Korea. Le designazioni del Treasury Department hanno ripetutamente stabilito che questi conti finanziano i programmi di armamento della North Korea, inclusi lo sviluppo di missili balistici e il suo programma nucleare.
Bybit, dal canto suo, sopravvive. L'azienda è solvibile. Entro poche ore dal furto, il CEO Ben Zhou organizza prestiti ponte e afflussi strategici da altri detentori istituzionali per ripristinare le riserve. I fondi dei clienti rimangono protetti. Nessun utente ha perso asset depositati.
L'exchange lancia un programma di ricompensa per il recupero, offrendo fino al dieci percento dei fondi recuperati a coloro che aiutano a rintracciarli o sequestrarli.
La stragrande maggioranza dell'Ethereum rubato non è stata recuperata.
Gli elementi irrisolti di questo fascicolo sono strutturali.
Bybit non ha commesso alcun errore secondo gli standard delle migliori pratiche di custodia di criptovalute. Ha utilizzato cold storage per le sue riserve. Ha utilizzato l'autorizzazione multisignature per i trasferimenti. Ha utilizzato un fornitore di interfaccia terzo rispettabile. Ha utilizzato chiavi di sicurezza hardware per i suoi firmatari. Ogni controllo difensivo raccomandato dal settore, Bybit lo ha implementato.
L'attacco ha aggirato tutti questi controlli compromettendo un livello al di fuori del controllo di Bybit.
Safe, il fornitore dell'interfaccia, serve migliaia di clienti istituzionali. Qualsiasi di questi clienti avrebbe potuto essere l'obiettivo. Bybit è stato selezionato perché gli attaccanti avevano, attraverso la loro ricognizione iniziale, identificato in anticipo i suoi indirizzi di cold wallet e i modelli di transazione. Il JavaScript condizionale è stato progettato attorno a quei punti dati specifici.
La debolezza architettonica sottostante è generale, non specifica.
Qualsiasi interfaccia web utilizzata per firmare transazioni di criptovalute è, per definizione, un potenziale punto di manipolazione della visualizzazione. Se l'interfaccia può essere sottilmente modificata — attraverso la compromissione della sua infrastruttura di hosting, della sua content delivery network, del suo repository di codice sorgente o della sua pipeline di distribuzione — un firmatario non può, nella maggior parte delle implementazioni, verificare in modo indipendente ciò che sta effettivamente firmando.
I hardware wallet con display di transazione indipendente sono una mitigazione parziale. Ma molti hardware wallet non decodificano strutture di transazione complesse come `delegatecall` in una forma leggibile dall'uomo. Mostrano un hash grezzo. Un utente che fissa una stringa esadecimale di sessantaquattro caratteri non può verificarne il significato tramite ispezione.
L'utente deve fidarsi dell'interfaccia.
La North Korea ha dimostrato, il 21 febbraio 2025, il costo di quella fiducia.
Fragment Zero seguirà il fascicolo del caso.
I fondi rubati continuano a frammentarsi attraverso la blockchain globale. Porzioni rimangono statiche in indirizzi che sono stati etichettati e sanzionati. Porzioni continuano a muoversi. I cinquantuno indirizzi identificati dall'FBI sono cresciuti fino a diverse centinaia, attraverso più chain.
Lo sviluppatore di Safe la cui macchina è stata compromessa non è stato nominato pubblicamente. Il vettore specifico di ingegneria sociale utilizzato per raggiungerlo non è stato dettagliato pubblicamente.
Il Lazarus Group continua a operare. Nei mesi successivi al furto di Bybit, furti più piccoli ma comunque sostanziali — misurati in decine di milioni di dollari — sono stati attribuiti alla stessa infrastruttura.
La questione più profonda non è se le criptovalute possano essere rubate.
La questione più profonda è quanto l'infrastruttura finanziaria si affidi ora a un piccolo numero di progetti di interfaccia open-source — mantenuti da piccoli team, aggiornati tramite pipeline di distribuzione live, fruiti tramite browser web — che si trovano tra miliardi di dollari in asset e gli esseri umani che li autorizzano.
In questo caso, il numero di persone che avrebbero potuto prevenire il più grande furto della storia era uno. E lui ha cliccato su qualcosa.
