Massiccio furto di criptovalute: il caso Bybit

Non è raro sentire parlare di furti di criptovalute, strumento che ormai da oltre un decennio ha iniziato a far parte del mondo IT e della finanza online uscendo sempre più dalla nicchia in cui era nato. Se pensiamo poi che oramai tutti gli attacchi ransomware che vengono perpetrati hanno messaggi per il rilascio dei dati rubati nei quali si chiede sempre il pagamento del riscatto in bitcoin o valute simili appare chiaro come ormai lo strumento sia alla portata. Anche dal punto di vista della sicurezza però questi strumenti continuano a fare discutere, visto che spesso i criminali informatici più esperti puntano a rubare ingenti somme di denaro.

Quest’ultimo caso è proprio quello che è accaduto a fine febbraio 2025 a Bybit, noto exchange, che ha subito quello che attualmente è il maggior furto di criptovalute della storia per mano di hacker nordcoreani sovvenzionati probabilmente dal loro governo centrale. La cifra rubata è pari a 1,46 miliardi di dollari e sarebbe stata trafugata da uno wallet ETH di Bybit, sulla quale adesso pende anche la problematica relativa alla effettiva sicurezza dei suoi sistemi. Sembra che il misfatto sia accaduto durante un semplice trasferimento di denaro, per il quale è stata modificata agli occhi di chi stava operando il vero wallet di destinazione e veniva invece mostrato quello che sembrava legittimo. Ovviamente l’attacco è particolarmente sofisticato perché chi l’ha perpetrato è riuscito anche a mettere le mani sullo smart contract alla base dello scambio.

Le verifiche effettuate dopo l’evento hanno mostrato poi come chi ha commesso il misfatto abbia già iniziato a suddividere in piccole parti la cifra, circa 10.000 ETH per volta, su una molteplicità di wallet diversi, questo per non fare capire da dove provenissero e non farli più rintracciare o seguire. Sembra che con questa manovra effettuata dai criminali la quasi totalità della cifra rubata, circa 1,1 miliardi in ETH, siano già diventati Bitcoin. Nei giorni successivi è stato effettuato un audit per spiegare come Lazarus, il gruppo nordcoreano che ha commesso il furto, abbia sfruttato un computer di Safe, una piattaforma per la gestione dei fondi crypto, per introdurre il codice che poi ha portato al furto. Addirittura, la finta richiesta di autorizzazione alla transazione è arrivata al CEO di Bybit Ben Zhou, che in quanto apparentemente legittima l’ha anche approvata, dando in mano agli hacker il controllo.

I problemi, che hanno causato anche un crollo del mercato delle criptovalute, sono stati causati sicuramente anche da una scarsa compatibilità del sistema Safe con i sistemi di sicurezza di Bybit, cosa che ha creato di fatto una sorta di breccia. Ma la colpa è ovviamente anche di Bybit che nonostante questi problemi ha continuato a basarsi su quella soluzione, che poi infatti è stata colpita per effettuare l’attacco. In ultimo, un altro problema di Bybit sembra essere costituito proprio dalle scarse barriere di sicurezza e dalla fallacia dei controlli, cosa che per le cifre in ballo può essere sicuramente controproducente, come lo è stato.

L’attacco di Lazarus non è il primo che ha portato ad una ingente perdita di denaro, ma come abbiamo accennato sovrasta tutti gli altri, visto che l’ultimo più grande “colpo” è stato quello che ha portato, sempre a Lazarus, insieme a BlueNorOff, al furto di 620 milioni di dollari dalla piattaforma Ronin Network di Axie Infinity. Anche in questo caso ovviamente si trattava di hacker nordcoreani che a quanto pare si stanno specializzando in questo genere di furti. Il problema riguarda sicuramente la sicurezza di queste piattaforme, che comunque mettono in palio anche dei cosiddetti bug bounty pagando chi trova e segnala vulnerabilità, ma le ricompense sono basse anche in caso di grosse falle di sicurezza. Le indagini su questo singolo caso ovviamente non sono finite e non finiranno a breve, vista l’ingente somma e la caratura dei soggetti coinvolti, ma è chiaro come sulle questioni legate alle crypto sia necessaria sempre di più un’attenzione ancora più alta alle misure di sicurezza, considerando che gli hacker spesso si evolvono più rapidamente di tutti.

Fonte: 1