Im Februar 2025 kam es zu einem der spektakulärsten Cyberangriffe auf eine Kryptowährungsplattform, als Angreifer über 400.000 Ether – damals mehr als eine Milliarde US-Dollar wert – aus der ByBit-Plattform entwendeten. Nun ist es Forschern von Elastic gelungen, den gesamten Angriff präzise nachzuverfolgen und die verwendeten Methoden bis ins Detail zu rekonstruieren. Diese Untersuchung bietet nicht nur eine seltene Einsicht in hochentwickelte Angriffe, sondern auch eine eindringliche Mahnung an die Krypto-Community und Unternehmen, die mit sensiblen Daten und Vermögenswerten arbeiten, ihre Sicherheitsmaßnahmen deutlich zu verstärken.Die erfolgreiche Simulation des Angriffs zeigt, wie sorgfältig und zielgerichtet die Hacker vorgingen.
Dabei stellt sich heraus, dass die Attacke nicht direkt auf ByBit selbst abzielte, sondern auf einen vertrauenswürdigen Drittanbieter, Safe{Wallet}, der Multisignatur-Wallet-Dienste für die Plattform bereitstellt. Diese clevere Umgehung der direkten Verteidigungslinien machte den Angriff besonders heimtückisch und nachhaltig gefährlich.Als erster Schritt des Angriffs nutzten die Hacker eine Social-Engineering-Kampagne, um einen Entwickler mit einem macOS-Arbeitsplatz zu kompromittieren. Vermutlich wurden die Schadprogramme über Messenger-Dienste wie Telegram oder Discord verbreitet. Damit gelang es den Angreifern, Zugang zu einem ansonsten sicher geglaubten Gerät zu erhalten und Schadcode auszuführen.
Die Untersuchung von Elastic legt nahe, dass eine Sicherheitslücke in der Open-Source-Python-Bibliothek PyYAML für einen Remote-Code-Execution-Angriff ausgenutzt wurde. Aufgrund unsicherer Verarbeitung externer Daten konnten die Angreifer beliebigen Code ausführen und so eine mehrstufige Schadsoftware installieren.Diese Schadsoftware bestand unter anderem aus einem MythicC2 Poseidon-Agenten, der darauf ausgelegt war, temporäre AWS-Session-Tokens zu stehlen. Mit diesen Tokens öffnete sich für die Hacker eine Hintertür in die Cloud-Infrastruktur von Safe{Wallet}, wodurch sie Zugang zu sensiblen Ressourcen erhielten. Über einen Zeitraum von rund zwei Wochen führten die Angreifer umfangreiche Erkundungen durch, um den Schwachstellen und Architekturdetails des Systems auf den Grund zu gehen und ihre nächsten Schritte zu planen.
Eine besonders gravierende Maßnahme war das Manipulieren von JavaScript-Dateien, die im Frontend der Wallet-Anwendung auf app.safe.global gehostet wurden. Hier änderten die Angreifer den Transaktionslogikcode so ab, dass Kryptotransfers unbemerkt zu ihren eigenen Wallets umgeleitet wurden. Dies konnte realisiert werden, weil die betreffenden Script-Bundles in einem Amazon-S3-Cloud-Speicher abgelegt waren, auf den die Hacker durch die gestohlenen AWS-Credentials Schreibzugriff hatten.
Im Rahmen der Nachstellung bestätigten die Forscher von Elastic, dass es möglich war, genau diese Modifikationen vorzunehmen, was den Diebstahl von Hunderttausenden von ETH ermöglichte.Ein weiteres kritisches Detail ist, dass die Anwendung und die Cloud-Umgebung nicht mit Schutzmechanismen ausgestattet waren, die solche Manipulationen verhindern oder zumindest deutlich erschweren könnten. Subresource Integrity (SRI), eine Technologie, die sicherstellt, dass in Webanwendungen geladene Ressourcen wie JavaScript-Dateien nicht nach ihrer Veröffentlichung verändert werden können, hätte diesen Angriff größtenteils blockieren können. Ebenso hätten unveränderliche S3-Objekte (Immutability) vor unberechtigten Änderungen geschützt. Das Fehlen dieser Sicherheitsvorkehrungen war ein entscheidender Faktor für den Erfolg des Angriffs.
Obwohl versucht wurde, mittels eines virtuellen Multi-Factor-Authentication (MFA)-Geräts eine dauerhafte Zugangsmöglichkeit zu etablieren, wurde dies durch die nativen AWS-Sicherheitssysteme vereitelt. Dennoch war die Modifikation der Transaktionslogik ausreichend, um den Diebstahl durchzuführen.Die detaillierte Analyse zeigte auch, dass anhand von AWS CloudTrail-Logs und anderen Endpoint-Sicherheitsdaten verdächtige Aktivitäten wie die Löschung von Python-Skripten sowie ungewöhnliche Uploads auf S3 vorkamen. Diese Spuren hätten mit einer engmaschigen Überwachung und einheitlicher Erkennung auf Endpoint- und Cloud-Ebene frühzeitig auf den Angriff hinweisen können. Die Kombination aus Bedrohungserkennung auf verschiedenen Ebenen bietet demnach eine essenzielle Verteidigungslinie gegen derartige komplexe Attacken.
Der durch Elastic präsentierte Fall zeigt exemplarisch die Gefahren durch sogenannte Supply-Chain-Angriffe, bei denen nicht die Hauptplattform, sondern angrenzende Systeme über Schwachstellen ins Visier genommen werden. Es handelt sich hierbei nicht um einen Einzelfall, sondern um eine Taktik, die immer wieder von nordkoreanischen Hackergruppen wie TraderTraitor angewandt wird. Seit 2017 sollen diese Gruppen über 6 Milliarden US-Dollar durch vergleichbare Cyberattacken erbeutet haben.Die Erkenntnisse aus der Rekonstruktion des ByBit-Hacks unterstreichen die kritische Bedeutung von gezieltem Nutzer-Training, um Social-Engineering-Angriffe zu erschweren. Regelmäßige Schulungen sowie Sensibilisierung für Phishing und andere manipulative Methoden können die anfängliche Kompromittierung verhindern.
Ebenso ist die Sicherstellung strenger Session- und Zugriffsmanagementrichtlinien unerlässlich, um den Schaden im Falle eines erfolgreichen Angriffs zu minimieren.Darüber hinaus muss die Implementierung von Integritätsprüfungen auf Applikationsebene und Dateisystemen Priorität haben. Dies beinhaltet SRI-Prüfungen bei Webressourcen, unveränderbare Cloud-Speicherobjekte sowie umfassende Protokollierung und Echtzeitanalyse von Zugriffs- und Änderungsvorgängen auf Cloud-Ressourcen.Der Vorfall zeigt deutlich, dass eine isolierte Betrachtung von Endpoint- oder Cloud-Sicherheit nicht mehr ausreicht. Nur eine ganzheitliche Überwachung und schnelle Reaktion auf Anomalien in beiden Bereichen kann effektiven Schutz gegen so gut ausgestattete und taktisch versierte Gegner wie die nordkoreanischen Bedrohungsakteure gewährleisten.
Die Implikationen für die gesamte Kryptobranche sind weitreichend. In einem Umfeld, das sich durch hohe Dezentralisierung und vielfach mangelnde Regulierungen auszeichnet, stellt die Sicherung komplexer Cloud- und Hybrid-Infrastrukturen eine enorme Herausforderung dar. Gleichzeitig steigt mit dem zunehmenden Volumen der verwalteten Kryptowährungen die Attraktivität für organisierte Cyberkriminalität stetig an.Für Unternehmen und Entwickler ist es daher essenziell, Sicherheitskonzepte regelmäßig zu überprüfen und an neue Gefahrenlagen anzupassen. Werden veraltete Bibliotheken benutzt oder Sicherheitsempfehlungen ignoriert, öffnen sich potenziell verheerende Angriffsflächen.
Die Cloud-Infrastruktur sollte mit strikten Zugriffskontrollen, Multi-Faktor-Authentifizierung und automatisierten Integritätsscans abgesichert werden.Fazit: Der von Elastic vorgelegte Rekonstruktionsbericht zum ByBit-Hack ist ein Weckruf für die gesamte Kryptoindustrie und Cloud-Service-Provider. Er dokumentiert eindrucksvoll die raffinierten Angriffstaktiken, mit der hochentwickelte staatlich gesteuerte Hacker Milliardenwerte stehlen können. Gleichzeitig liefert er wertvolle Handlungsempfehlungen, die es ermöglichen, typische Angriffsvektoren zu erkennen und zu schließen.Sicherheitsbewusstsein, technische Absicherung und kontinuierliche Überwachung sind die Schlüssel, um künftige Angriffe zu verhindern oder zumindest deren Auswirkungen zu minimieren.
Nur mit einem integrierten und proaktiven Ansatz kann die Kryptoökonomie vor den wachsenden Bedrohungen aus dem Cyberraum geschützt werden. Die ByBit-Attacke wird als Fallbeispiel in Zukunft als Mahnung dienen, wie wichtig es ist, Unternehmensressourcen sowohl auf Benutzer- als auch auf Infrastrukturebene bestmöglich zu schützen.
