Największy atak hakerski w historii kryptowalut. Może sfinansować program jądrowy Korei Północnej

Bybit to giełda kryptowalut, która ma ponad 60 milionów użytkowników na całym świecie. Jest drugą co do wielkości pod względem obrotu. A ostatnio stała się ofiarą największego ataku hakerskiego w historii.

Podczas wirtualnego napadu skradziono rok. 1,5 mld dolarów. To ok. 0,42 proc. całkowitej podaży kryptowaluty Ethereum (ETH), drugiej najpopularniejszej po bitcoinie.

Podejrzani? Hakerzy z Korei Północnej.

Sprawca przejął kontrolę nad portfelem ETH i przelał jego zawartość na nieznany adres. Sposób kradzieży był wyrafinowany – oszustwo polegało na wyświetleniu prawidłowego adresu, jednocześnie zmieniając logikę inteligentnego kontraktu i umożliwiając nieautoryzowany dostęp do portfela.

Atak na Bybit pobił poprzednie rekordy kradzieży w świecie kryptowalut – na przykład incydent z 2022 roku, kiedy z sieci Ronin skradziono aktywa o wartości około 620 milionów dolarów.

Tożsamość hakerów, którzy zaatakowali Bybit nie jest znana. Jednak niektóre raporty sugerują, że sprawcami mogą być północnokoreańscy hakerzy opłacani przez państwo. Szczególnie podejrzani są reprezentanci Lazarus Group, których obwiniano o wcześniejsze napady, w tym ten z 2022 roku.

Badacz blockchain ZachXBT i eksperci ds. bezpieczeństwa zidentyfikowali wzorce działania zgodne z poprzednimi operacjami Lazarus Group, w tym podobieństwa do włamania na giełdę Phemex w styczniu 2025 roku.

Jeśli udział tej grupy w ataku na Bybit zostanie potwierdzony, Korea Północna stanie się jednym z największych posiadaczy kryptowaluty ETH, przewyższając udziały współzałożyciela Ethereum Vitalika Buterina i Ethereum Foundation.

Uważa się, że fundusze pozyskane w ramach tych działań finansują program broni jądrowej Korei Północnej.

– Lazarus to jedna z najbardziej znanych i niebezpiecznych grup cyberprzestępczych, mająca silne powiązania z północnokoreańskim reżimem. Początkowo działała jak typowa grupa przestępcza nastawiona na zyski finansowe, ale obecnie jest już uznawana za tzw. grupę APT (Advanced Persistent Threat) – czyli wysoce zorganizowaną jednostkę, która prowadzi długofalowe ataki szpiegowskie i destrukcyjne na zlecenie rządów – mówi nam analityk laboratorium antywirusowego ESET Kamil Sadkowski.

Dodaje, że grupy APT nie działają chaotycznie, a ich celem jest zdobycie dostępu do systemów na długi czas. Tak, żeby wykradać dane, śledzić działania firm czy instytucji albo przejmować pieniądze.

Lazarus robi to wyjątkowo skutecznie.

Grupa w Korei Północnej znana jest też pod nazwą Biuro Łącznikowe 414 (414 Liaison Office). Jej działalność jest częścią strategii reżimu Kim Dzong Una, mającej na celu podważenie globalnego cyberbezpieczeństwa oraz generowanie nielegalnych dochodów, z naruszeniem międzynarodowych sankcji.

W ostatnim czasie analitycy ESET zaobserwowali wiele operacji grupy Lazarus, których celami był m.in. sektor obronny i lotniczy w Europie i USA w ramach kampanii Operation DreamJob, w której fałszywe oferty pracy służyły do infekowania systemów ofiar, ale też deweloperzy kryptowalut oraz firmy technologiczne i badawcze.

– Jednym z bardziej znaczących ataków tej grupy były działania z przełomu 2022 i 2023 skierowane na jednego z polskich dostawców z branży zbrojeniowej. Cyberprzestępcy wysyłali do pracowników tej firmy fałszywe oferty pracy w Boeingu. Do akcji wykorzystano zainfekowaną wersję znanego programu do odczytywania plików PDF, a także specjalne złośliwe oprogramowanie do pobierania plików – zauważa Sadkowski.

Bybit zwrócił się do największych ekspertów ds. cyberbezpieczeństwa o pomoc w odzyskaniu skradzionych środków, oferując nagrodę w wysokości 10 proc. odzyskanej kwoty, która może wynieść łącznie 140 mln dolarów, jeśli cała zhakowana kwota zostanie odzyskana.

Dyrektor generalny Bybit, Ben Zhou, od razu po ataku zapewnił klientów, że ich środki są bezpieczne, a giełda pozostaje wypłacalna.

Firma posiada aktywa o wartości 20 miliardów dolarów, co pozwala na pokrycie strat nawet w przypadku nieodzyskania skradzionych funduszy, o czym natychmiast zapewnił Zhou.

Dodał, że wszystkie pozostałe portfele giełdy są zabezpieczone, a wypłaty dla klientów odbywają się normalnie.

Firma zobowiązała się również do wzmocnienia infrastruktury bezpieczeństwa, aby zapobiec podobnym incydentom w przyszłości.

Atak wywołał znaczące reperkusje na rynku kryptowalut. Cena Ethereum od razu spadła o ok. 8 proc., a Bitcoin odnotował spadek o prawie 5 proc.

Ponadto giełda Bybit zanotowała ponad 350 tysięcy wniosków o wypłatę środków od klientów w krótkim czasie po incydencie, co doprowadziło do opóźnień w przetwarzaniu transakcji.

Według Chainalysis tylko w 2024 r. sektor kryptowalut odnotował łączne kradzieże o wartości 2,2 mld dolarów. To o 21,1 proc. więcej w porównaniu z rokiem poprzednim. Z kolei z raportu ESET, podsumowującego najnowsze dane o cyberzagrożeniach wynika, że w drugiej połowie 2024 wykryto o 56 proc. więcej cryptostealerów (czyli złośliwego oprogramowania przeznaczonego do kradzieży kryptowalut) niż w pierwszym półroczu.

Na celowniku cyberprzestępców często znajdowali się także użytkownicy z Polski – stając się czwartą najczęściej atakowaną grupą tuż po inwestorach z Peru, USA i Hiszpanii.