La Oficina Federal de Investigación de los Estados Unidos (FBI) vinculó formalmente el truco de Bybit de $ 1.5 mil millones de $ 1.5 mil millones con actores de amenaza de Corea del Meta, como el CEO de la compañía, Ben Zhou, declaró una “lucha contra Lázaro”.
La agencia dijo que la República Popular Democrática de Corea (Corea del Meta) fue responsable del robo de los activos virtuales del intercambio de criptomonedas, atribuyéndolo a un clúster específico que rastrea como comerciante, que asimismo se rastrea como Jade Sleet, Slow Piscis y UNC4899.
“Los actores comerciales están procediendo rápidamente y han convertido algunos de los activos robados a Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples blockchains”, dijo el FBI. “Se paciencia que estos activos se laven aún más y eventualmente se conviertan en moneda fiduciaria”.
Vale la pena señalar que el clúster comerciante fue implicado previamente por las autoridades japonesas y estadounidenses en el robo de criptomonedas por valencia de $ 308 millones de la compañía de criptomonedas DMM Bitcoin en mayo de 2024.
El actor de amenaza es conocido por atacar a las empresas en el sector Web3, a menudo engañando a las víctimas para que descarguen aplicaciones de criptomonedas con malware para simplificar el robo. Alternativamente, asimismo se ha opuesto que fanfarria campañas de ingeniería social con temas de empleo que conducen al despliegue de paquetes de NPM maliciosos.
Bybit, mientras tanto, ha arrojado un software de recompensas para ayudar a recuperar los fondos robados, mientras claridad a Exch para negarse a cooperar en la sonda y ayudar a congelar los activos.
“Los fondos robados se han transferido a destinos no rastreables o congelables, como intercambios, mezcladores o puentes, o convertidos en estables que pueden congelarse”, dijo. “Necesitamos la cooperación de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para que podamos continuar rastreando”.
La compañía con sede en Dubai asimismo ha compartido las conclusiones de dos investigaciones realizadas por Sygnia y Verichains, vinculando el truco con el Peña Lázaro.
“La investigación forense de los hosts de los tres firmantes sugiere que la causa raíz del ataque es un código astuto que se origina en la infraestructura de Safe {Wallet}”, dijo Sygnia.
VieChains señaló que “el archivo JavaScript amable de App.Safe.Mundial parece ocurrir sido reemplazado por código astuto el 19 de febrero de 2025 a las 15:29:25 UTC, específicamente dirigido a Ethereum MultiSig Cold Wallet of BYBIT”, y que el “Ataque se diseñó para activar durante la próximo transacción por BIBit, que ocurrió el 21 de febrero, 2025, 2025, At 14:13 de UTC.”
Se sospecha que la cuenta de AWS S3 o CloudFront/API de SAFE. El general probablemente se filtró o comprometió, allanando así el camino para un ataque de la sujeción de suministro.
En una explicación separada, la plataforma de billetera multisig Safe {Wallet} dijo que el ataque se llevó a punta comprometiendo una máquina de desarrollador segura {billetera} que afectó una cuenta operada por BYBIT. La compañía señaló encima que implementó medidas de seguridad adicionales para mitigar el vector de ataque.
El ataque “se logró a través de una máquina comprometida de un desarrollador seguro {billetera} que resulta en la propuesta de una transacción maliciosa disfrazada”, dijo. “Lazarus es un rama de piratas informáticos norcoreanos patrocinados por el estado que es adecuadamente conocido por los sofisticados ataques de ingeniería social contra las credenciales de desarrolladores, a veces combinados con hazañas de día cero”.
Actualmente no está claro cómo se violó el sistema del desarrollador, aunque un nuevo disección de Silent Push ha descubierto que el Peña Lazarus registró la evaluación de Bybit de dominio (.) Com a las 22:21:57 del 20 de febrero de 2025, unas horas antaño del robo de criptomonedas.
Los registros de Whois muestran que el dominio se registró utilizando la dirección de correo electrónico “Trevorgreer9312@gmail (.) Com”, que ha sido identificada previamente como una persona utilizada por el Peña Lazarus en relación con otra campaña denominada entrevista contagiosa.
“Parece que el atraco Bybit fue realizado por el rama de actores de amenaza de la RPDK conocido como comerciante, asimismo conocido como Jade Sleet y Slow Piscis, mientras que la estafa de la entrevista criptográfica está siendo dirigida por un rama de actores de amenaza de la RPDK conocido como entrevista contagiosa, asimismo conocida como famosa Chollima”, dijo la compañía.
“Las víctimas generalmente se abordan a través de LinkedIn, donde están diseñadas socialmente para participar en entrevistas falsas de trabajo. Estas entrevistas sirven como punto de entrada para la implementación de malware específica, la cosecha de credenciales y un decano compromiso de los activos financieros y corporativos”.
Se estima que los actores vinculados a Corea del Meta han robado más de $ 6 mil millones en activos criptográficos desde 2017. Los $ 1.5 mil millones robados la semana pasada superan los $ 1.34 mil millones que los actores de amenaza robaron de 47 atracones de criptomonedas en todos los 2024.
