Bybit-Hack: Kurze Analyse des größten Krypto-Diebstahls

Am 21. Februar 2025 erschütterte der bislang größte bekannte Krypto-Hack die Welt der digitalen Assets: Die Kryptobörse Bybit verlor durch einen raffinierten Angriff rund 1,5 Milliarden US-Dollar in -Token. Verantwortlich gemacht wird die nordkoreanische Hackergruppe , die bereits zuvor durch Cyberkriminalität im großen Stil aufgefallen war. In diesem Beitrag analysieren wir die Hintergründe des Angriffs, die eingesetzten Techniken und vor allem die Lehren, die Unternehmen daraus ziehen sollten, um ähnliche Vorfälle in Zukunft zu verhindern.

Angriff im Detail: Phishing und Social Engineering

Nach Angaben von Chainalysis und dem FBI begann der Angriff durch eine Kombination aus und . Hacker kompromittierten die Benutzeroberfläche eines Safe-Wallet-Entwicklers, nicht direkt die von Bybit selbst. Durch gezielte Phishing-Angriffe gelang es ihnen, den Entwickler dazu zu bringen, eine bösartige Transaktion zu signieren. Diese Transaktion ersetzte die Multi-Signature-Wallet-Kontrakte durch manipulierte Versionen. Der Angriff zielte auf eine Cold-Wallet von Bybit ab, die normalerweise als besonders sicher gilt. Inzwischen wird schon tüchtig in Bitcoin gewechselt.

Technische Hintergründe: Exploit über das Operation-Parameter

Eine Besonderheit des Angriffs war die Manipulation des „Operation“-Parameters in einem . Statt des üblichen Wertes „0“ setzten die Angreifer ihn auf „1“, was die Verwendung der Funktion delegateCall ermöglichte. Dadurch konnten sie die Kontrolle über die Wallet erlangen, ohne die Smart-Contract-Sicherheitsmaßnahmen direkt zu kompromittieren. Diese Methode verdeutlicht die Gefahren komplexer Smart-Contract-Strukturen, die selbst für erfahrene Entwickler oft schwer verständlich sind.

Die Rolle Nordkoreas: „TraderTraitor“ und Geldwäsche

Das FBI und TRM Insights bestätigten, dass die nordkoreanische Hackergruppe Lazarus hinter dem Angriff steckt, die bereits in der Vergangenheit durch spektakuläre Cyberdiebstähle auffiel. Unter dem Codenamen „TraderTraitor“ soll die Gruppe bereits zuvor erfolgreich Kryptowährungen gestohlen und gewaschen haben. Nach dem wurden die gestohlenen Vermögenswerte schnell auf zahlreiche Ethereum-Adressen verteilt, um die Rückverfolgung zu erschweren.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Präventionsmaßnahmen: Was Unternehmen tun sollten

a) Stärkung der Sicherheitsprotokolle

  • Multi-Signature-Wallets mit erweiterten Prüfschritten: Unternehmen sollten nicht nur auf Multi-Signature-Wallets setzen, sondern auch auf zusätzliche Sicherheitsüberprüfungen vor der Transaktionsfreigabe. Eine erweiterte Kontrolle der Smart-Contract-Parameter ist unerlässlich.
  • Air-Gapping und Hardware-Sicherheitsmodule: Transaktionssignaturen sollten auf Geräten durchgeführt werden, die nicht mit dem Internet verbunden sind, um die Gefahr durch Phishing zu minimieren.

b) Schulungen und Awareness-Programme

  • Phishing-Simulationen und Schulungen: Regelmäßige Schulungen für Entwickler und Mitarbeiter zu Social Engineering und Phishing-Angriffen sind essentiell.
  • Verständliche Smart-Contract-Interfaces: Entwickler sollten bemüht sein, verständlichere Benutzeroberflächen zu gestalten, die klare Hinweise auf mögliche Manipulationen geben.

c) Einsatz fortschrittlicher Technologien

  • MPC-Wallets (Multi-Party Computation): Diese Technologie teilt private Schlüssel in mehrere Teile, wodurch das Risiko durch Kompromittierung eines einzelnen Schlüssels minimiert wird.
  • -Analytics und Adress-Screening: Echtzeitüberwachung durch Blockchain-Analyse-Tools kann helfen, verdächtige Transaktionen frühzeitig zu erkennen und zu blockieren.

Hintergrund war wohl die Freeware Safe

Die dramatischen Ereignisse rund um den Hack der Kryptobörse Bybit, bei dem nordkoreanische Hacker Kryptowährungen im Wert von 1,5 Milliarden Dollar erbeuteten, haben im Ergebnis wohl ein grundlegendes Sicherheitsproblem in der Branche schonungslos offengelegt: die riskante Abhängigkeit von ungeeigneter Software für die Verwaltung enormer Vermögenswerte. Im Zentrum der Kritik steht dabei die Software “Safe”, die von Bybit zur Sicherung von Kundengeldern eingesetzt wurde, wie die NYTimes berichtet.

Die Software “Safe”, die sich großer Beliebtheit unter Krypto-Hobbyisten erfreut, wurde von Bybit als zentrale Sicherheitslösung verwendet, obwohl sie offenkundig nicht für die Anforderungen eines Unternehmens dieser Größe ausgelegt war. Während andere Kryptobörsen und Sicherheitsunternehmen längst spezialisierte und robuste Tools einsetzten, hielt Bybit aus Kostengründen an der kostenlosen Variante fest. Die Hacker konnten diese Schwachstelle gezielt ausnutzen: Durch die Kompromittierung eines Entwicklerkontos bei Safe gelang es ihnen, schädlichen Code einzuschleusen und letztlich die Kontrolle über ein Konto bei Bybit zu übernehmen.

Sicherheitsforscher und Branchenexperten kritisieren insbesondere die fehlenden Kontrollmechanismen der Software. So konnte Ben Zhou, der CEO von Bybit, eine vermeintlich routinemäßige Transaktion freigeben, ohne die vollständigen Details überprüfen zu können. Das Problem lag darin, dass die Hardware-Sicherheitslösung von Ledger, die Zhou nutzte, nicht vollständig mit Safe kompatibel war. Dadurch entstand eine gefährliche Lücke im Freigabeprozess, die den Hackern erst den Zugriff ermöglichte.

Charles Guillemet, ein leitender Mitarbeiter der französischen Sicherheitsfirma Ledger, bezeichnete die Verwendung von Safe für ein Unternehmen wie Bybit als grob fahrlässig. Safe sei bestenfalls für Privatnutzer geeignet, nicht jedoch für Unternehmen, die täglich Milliardenbeträge verwalten. Diese Kritik unterstreicht die drängende Notwendigkeit, die Sicherheitsstandards für Kryptobörsen zu überarbeiten und auf professionelle Lösungen umzusteigen, die speziell auf die Herausforderungen großer Finanzströme ausgerichtet sind.

Auch die Tatsache, dass Bybit bereits Monate vor dem Hack auf Inkompatibilitäten der Safe-Software zu anderen Sicherheitssystemen aufmerksam wurde, ohne entsprechende Konsequenzen zu ziehen, wirft ein schlechtes Licht auf das Risikomanagement des Unternehmens. Ben Zhou selbst räumte ein, dass man längst hätte auf eine professionellere Lösung umstellen müssen. Die Versäumnisse wurden Bybit letztlich zum Verhängnis: Innerhalb weniger Stunden verloren Kunden das Vertrauen und zogen Kryptowährungen im Wert von fast 10 Milliarden Dollar ab, was die Kryptomärkte zusätzlich erschütterte.

Im Nachgang der Ereignisse kündigte Rahul Rumalla, Chief Product Officer von Safe, an, dass sein Unternehmen bereits an erweiterten Sicherheitsfunktionen arbeite. Doch diese Reaktion kam zu spät. Die Kritik der Experten ist eindeutig: Solange sich Kryptobörsen auf kostenlose und für professionelle Anwendungen ungeeignete Softwarelösungen verlassen, bleibt das Risiko weiterer Mega-Hacks bestehen. Der Fall Bybit sollte deshalb als Weckruf für die gesamte Branche dienen, die eigenen Sicherheitsarchitekturen kritisch zu hinterfragen und dringend notwendige Investitionen in professionelle Sicherheitslösungen nicht länger hinauszuschieben.

Die (derzeitigen) Lehren aus dem Bybit-Hack

Der Bybit-Hack verdeutlicht eindrucksvoll die Gefahren, die durch raffinierte Kombinationen aus Social Engineering und technischen Exploits entstehen. Unternehmen müssen nicht nur auf technische Sicherheitsmaßnahmen setzen, sondern auch ihre Mitarbeiter umfassend schulen. Eine stärkere Regulierung der Kryptomärkte und der Einsatz fortschrittlicher Sicherheitstechnologien wie MPC-Wallets könnten dazu beitragen, ähnliche Vorfälle in Zukunft zu verhindern.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.