מי אחראי לפריצת הענק לבורסת הקריפטו – בשווי של 1.5 מיליארד ד'?

צפון קוריאה היא האחראית לשוד הקריפטו הגדול שאירע לפני ימים אחדים – גניבה של נכסים וירטואליים בשווי של כ-1.5 מיליארד דולרים מבורסת הקריפטו בייביט; כך הודיע ה-FBI בסוף השבוע.

הבולשת הפדרלית ייחסה את פעילות הסייבר הזדונית הספציפית הזו של צפון קוריאה לקבוצת סוחר בוגד – משחק מצלול מילים של TraderTraitor. קבוצת ההאקרים מכונה גם Jade Sleet ,Slow Pisces ו-UNC4899.

"שחקני TraderTraitor פועלים במהירות, והם המירו חלק מהנכסים הגנובים לביטקוין ולנכסים וירטואליים אחרים, המפוזרים על פני אלפי כתובות במספר בלוקצ'יינים", מסר ה-FBI. הוא התריע כי הנכסים צפויים לעבור עוד הלבנה, ולאחריה המרה למטבע רגיל – מה שיקשה על מעקב אחר התוקפים ואיתורם.

יש גם קשר ישראלי

בייביט משרתת יותר מ-60 מיליון משתמשים ברחבי העולם ומציעה גישה למטבעות קריפטו שונים, כולל ביטקוין ואת'ריום. לפני כמה ימים היא הודיעה שהאקרים הצליחו להשיג שליטה בארנק האת'ריום שלה ולהעביר את האחזקות לכתובת לא מזוהה.

בעקבות המגה-אירוע, החברה פנתה ל"מוחות המבריקים ביותר" בעולם הגנת הסייבר בבקשה לסיוע בשחזור הנכסים שנגנבו. סיגניה הישראלית היא אחת משלוש החברות המסייעות לבורסה שנפרצה, לצד מנדיאנט מבית גוגל ו-וריצ'יינס. כל חברות ההגנה קשרו את הפריצה לקבוצת לזרוס.

מנכ"ל בייביט, בן ג'ואו, הכריז בחשבון ה-X שלו על "מלחמה נגד לזרוס", הקבוצה הצפון קוריאנית הנודעת לשמצה.

Bybit Hack Forensics Report
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U pic.twitter.com/tlZK2B3jIW

— Ben Zhou (@benbybit) February 26, 2025

מומחים ציינו כי חברי הקבוצה נצפו כמי שתקפו את הרשויות היפניות והאמריקניות, ובמאי אשתקד גנבו מטבעות קריפטוגרפיים בשווי של 308 מיליון דולר מחברת מטבעות הקריפטו DMM ביטקוין.

לדברי המומחים, הקבוצה שלוחת המשטר בפיונגיאנג ידועה ככזו שמכוונת לחברות במגזר ה-ווב3, ולעתים קרובות מרמה את הקורבנות להוריד אפליקציות קריפטוגרפיות שכוללות נוזקות, כדי להקל על גניבה. עוד היא פועלת בעולם ההונאות המבוססות על קמפיינים של הנדסה חברתית.

מה מקור המתקפה?

בייביט, שיושבת בדובאי, שיתפה את המסקנות של החקירות. הממצאים העלו כי "הסיבה העיקרית להתקפה היא קוד זדוני שמקורו בתשתית של Safe Wallet", מסרה סיגניה. חקירת שלושת השרתים הנגועים העלתה ששורש ההתקפה הוא קוד זדוני שמקורו בתשתית של Safe, ספקית של בורסות קריפטו, שדרכו הגיעו התוקפים אל הכסף. לפי הדו"ח של סיגניה, לא נמצאו עדויות לפגיעה בתשתית של בייביט עצמה.

ג'ואו ציין כי החקירה עדיין נמשכת, על מנת לאמת את הממצאים.

Safe Wallet הודיעה, בנפרד, כי "המתקפה בוצעה על ידי פגיעה באחת ממכונות המפתחים שלנו, שהשפיעה על חשבון שמופעל על ידי בייביט. הטמענו אמצעי אבטחה נוספים כדי למתן את וקטור ההתקפה".

עוד העלתה החקירה כי חברי לזרוס רשמו את הדומיין bybit-assessment[.]com בשעה 22:21 ב-20 בפברואר 2025 – כמה שעות לפני שהתרחש שוד הקריפטו הגדול. המתחם נרשם באמצעות כתובת המייל trevorgreer9312@gmail[.]com, שזוהתה בעבר ככתובת ששימשה את קבוצת לזרוס בהקשר למסע אחר, שזכה לכינוי ראיון מדבק (Contagious Interview). החוקרים מצאו קשר בין חברי הקבוצה לבין קבוצה נוספת, בשם Famous Chollima.

לפי הממצאים שהוצגו, הפנייה אל הקורבנות נעשית בדרך כלל דרך לינקדאין, שם הם עוברים הנדסה חברתית ומשכנעים אותם להשתתף בראיונות עבודה – מזויפים. "ראיונות אלה משמשים כנקודת כניסה לפריסת נוזקות ממוקדות, קצירת אישורים וגניבת נכסים פיננסיים ותאגידיים", נמסר.

ההערכות של יכולות ההאקרים מצפון קוריאה מדברות על כך שמאז 2017, הם גנבו יותר משישה מיליארד דולר בנכסי קריפטו. בכל שנת 2024 נגנבו 1.34 מיליארד דולר ב-47 אירועי שוד מטבעות קריפטו – סכום נמוך יותר מזה שנגנב בפריצה הנוכחית.

שוד מטבעות קריפטו הוא בין פעולות הסייבר העיקריות של צפון קוריאה. הוכח לא אחת שהמשטר של קים ג'ונג און משתמש בכך לטובתו האישית וכדי להשאיר חיה את כלכלת המדינה המקרטעת, במידה רבה עקב הסנקציות שהמערב הטיל עליה.