Taiwanesische Krypto-Börse BitoPro von nordkoreanischen Hackern ins Visier genommen

Am 2. Juni 2025 sorgte ein kurzer Beitrag des Blockchain-Forschers ZachXBT auf Telegram für Aufregung in der Krypto-Assets-Branche: Mehrere Hot Wallets an der taiwanesischen Krypto-Assets-Börse BitoPro erlebten verdächtige Geldabflüsse in Höhe von insgesamt bis zu 11,5 Millionen USD.

Zu diesem Zeitpunkt sind fast 3 Wochen vergangen, seit der tatsächliche Angriff stattfand, und die Börse hat den Service nur mit Verweis auf “Systemwartung” ausgesetzt, ohne ein Wort über den Hackerangriff zu verlieren.

Zeitachse der Ereignisse, vom geheimen Angriff bis zur öffentlichen Offenlegung

Der Angriff fand zwischen dem 8. und 9. Mai 2025 statt. Zu diesem Zeitpunkt nutzte der Hacker das Zeitfenster für Systemaktualisierungen und Vermögensmigrationen der Wallets an der Börse, um einen Überfall auf die alte Hot-Wallet zu starten.

Mehrere öffentliche Blockchains sind betroffen: Tron, Ethereum, Solana und Polygon Die Hot-Wallet-Vermögenswerte an der Börse wurden schrittweise abgezogen. Nachdem der Hacker erfolgreich war, handelten sie schnell, liquidierten die Mittel zum Marktpreis über dezentrale Börsen (DEX) und transferierten sie an den Tornado Cash Mixer oder durch Thorchain Einzahlung auf die Bitcoin Netzwerk über Cross-Chain in die Wasabi-Wallet, um den Tracking-Pfad der Gelder zu unterbrechen.

Trotz der Berichte von Nutzern über Probleme bei Abhebungen kam die offizielle Stellungnahme von BitoPro, die den Angriff bestätigte, am 2. Juni, nachdem ZachXBT ihn öffentlich enthüllt hatte, und behauptete, dass “die Benutzervermögen intakt sind und die Plattform über ausreichende Rücklagen verfügt.”

Die Handhabungsmethode, die drei Wochen lang verborgen war, hat innerhalb der Gemeinschaft starke Zweifel an ihrer Transparenz und Krisenmanagementfähigkeiten geweckt.

Analyse von Angriffstechniken: Eine klassische Social Engineering-Intrusion

Am 19. Juni veröffentlichte BitoPro einen Bericht eines Drittanbieter-Sicherheitsunternehmens, der bestätigte, dass der Angreifer die berüchtigte nordkoreanische Hackerorganisation Lazarus Group war.

Der Angriffsweg zeigt klar sein hochspezialisiertes Vorgehen:

• Soziale Ingenieurkunst Phishing-Angriff: Hacker verkleiden die Kommunikation, um BitoPro-Mitarbeiter ins Visier zu nehmen und sie zu verleiten, auf bösartige Links oder Dateien zu klicken.
• Malware-Infektion: Die erfolgreich implantierte Malware hat die Antiviren-Systeme der Börse, den Endpunkt-Schutz und die Cloud-Sicherheitsüberwachung umgangen.
• Infiltrationsbeobachtung: Hacker lauern lange Zeit in den Computern der Mitarbeiter des Opfers und beobachten die Betriebsprozesse, insbesondere zielen sie auf das Cloud-Business-Personal ab, das die Verwaltung der Amazon AWS-Ressourcen kontrolliert.
• Token-Hijacking und Umgehung der MFA: Stehlen von AWS-Sitzungstoken und direkte Umgehung von Multi-Faktor-Authentifizierungsmechanismen (MFA).
• Kontrolliere den Hot-Wallet-Host: Verbinde dich mit dem C2-Server des Angreifers, injiziere bösartige Anweisungen in den Host, der für Hot-Wallet-Transaktionen verantwortlich ist, und simuliere letztendlich legitime Transaktionen, um die Überweisung am 9. Mai um 1 Uhr durchzuführen.

Diese Methode ist sehr konsistent mit den früheren Angriffen von Lazarus auf das globale Bankensystem SWIFT und mehrere Börsen, was die Reife seines Angriffsmusters hervorhebt.

Die verborgene Hand: Der Schatten der Lazarus-Gruppe

Die Lazarus-Gruppe ist kein Ersttäter. Die Organisation wird weithin als ein Netzwerk von Verbrechergruppen angesehen, das von dem nordkoreanischen Regime unterstützt wird, das schon lange darauf abzielt, Krypto-Assets zu stehlen, um seine Waffenprogramme zu finanzieren.

Sein Strafregister ist schockierend:

• Im Jahr 2016 versuchte man, 1 Milliarde Dollar von der Zentralbank von Bangladesch zu stehlen, indem man eine Schwachstelle im SWIFT-System ausnutzte (letztendlich wurden erfolgreich 81 Millionen Dollar überwiesen).
• Im Februar 2025 wurde die Börse ByBit angegriffen, was zu einem Rekorddiebstahl von 1,5 Milliarden Dollar in Krypto-Assets führte.
• Fortlaufend auf globale Krypto-Assets-Börsen-Lieferkettenangriffe, Schwachstellenausnutzung und komplexe Social-Engineering-Betrügereien abzielen.

Sicherheitsexperten weisen darauf hin, dass die Organisation darin hervorsticht, technische Schwachstellen mit menschlichen Schwächen zu kombinieren, und der BitoPro-Vorfall bestätigt dies erneut.

Die Reaktion der Börse, Maßnahmen zur Behebung der Schäden, nachdem die Schafe verloren sind

Nachdem der Vorfall bekannt wurde, ergriff BitoPro eine Reihe von Krisenbewältigungsmaßnahmen:

• Sofort das Hot-Wallet-System herunterfahren, um den Angriffsweg abzuschneiden.
• Ersetzen Sie alle relevanten Verschlüsselungsschlüssel
• Isolieren Sie infizierte Systeme und führen Sie eine Umweltrekonstruktion durch
• Beauftragen Sie ein Drittanbieter-Blockchain-Sicherheitsunternehmen, um die gestohlenen Mittel zurückzuverfolgen.

Um das Vertrauen zurückzugewinnen, hat BitoPro proaktiv eine neue Hot-Wallet-Adresse an die On-Chain-Datenanalyseplattform Arkham am 19. Mai eingereicht und die Liquiditätsdaten zur öffentlichen Aufsicht aktualisiert.

Der Gründer des Unternehmens, Zheng Guangtai, betonte, dass “Kundenvermögen nicht verloren gehen; alle Verluste werden von der Plattform getragen,” und versprach, die Prozesse zur Verwaltung von Wallets und die Überwachungsniveaus zu verbessern. Die Finanzaufsichtsbehörde von Taiwan hat ebenfalls interveniert und das Unternehmen aufgefordert, die Cybersicherheit zu stärken und eine Vorfallserklärung einzureichen.

Sicherheitsinsight: Die anfälligste Verbindung bleibt der „Mensch“

Der BitoPro-Vorfall, obwohl der verlorene Betrag weit geringer ist als der massive Diebstahlfall von ByBit in Höhe von 1,5 Milliarden US-Dollar, offenbart Schwachstellen in der Branche, die universell sind:

• Wartungszeiten werden zu Hochrisikofenstern: Während Systemupgrades oder Asset-Migrationen können Risikokontrollmechanismen vorübergehende Blindstellen aufweisen.
• Technische Verteidigungen sind schwer gegen Social-Engineering-Angriffe zu schützen: Selbst die ausgeklügeltsten Firewalls und MFA-Mechanismen können vollständig kompromittiert werden, wenn ein Mitarbeiter auf einen bösartigen Link klickt.
• Die Krise der Transparenz verschärft den Zusammenbruch des Vertrauens: Verzögerte Offenlegung und vage Kommunikation schädigen oft das Vertrauen der Nutzer mehr als die Ereignisse selbst.

„Der schwächste link in jedem Sicherheitssystem ist immer der menschliche Faktor,” eine Schlussfolgerung, die in Sicherheitsberichten wiederholt validiert wurde.

Fazit: Die Evolution der Verteidigung und der nie endende Offensive- und Defensive-Kampf

Der Angriff der Lazarus-Gruppe ist eine systematische Bedrohung, der das globale Krypto-Assets-Ökosystem weiterhin ausgesetzt ist. Vom Zentralbank von Bangladesch über ByBit bis hin zu BitoPro entwickeln sich ihre Angriffsmethoden ständig weiter, doch der Kern bleibt unverändert: die Ausnutzung menschlicher Schwächen, um technische Barrieren zu durchbrechen.

BitoPro erlitt einen Verlust von 11,5 Millionen USD und hat sein System aktualisiert, aber die größere Herausforderung besteht darin: wie die Börse eine interne Kontrolle Kultur etablieren kann, die “anti-soziale Ingenieurkunst” ist und eine schnelle und transparente Reaktion erreichen kann, wenn sie mit einem Eindringen konfrontiert wird.

In der Welt der Blockchain ist Vertrauen die zugrunde liegende Währung, und jeder Hackerangriff testet, ob die tatsächlichen Reserven ausreichend sind.