- Prezes Bybit stwierdził, że 20% z 1,4 mld dolarów skradzionych z giełdy jest obecnie nie do wyśledzenia.
- Hakerzy zamienili 1 mld dolarów w ETH na BTC za pośrednictwem THORChain i rozpowszechnili je.
- Do tej pory 11 łowców nagród pomogło w zamrożeniu 42 milionów dolarów skradzionych funduszy.
W oszałamiającej aktualizacji, dyrektor generalny Bybit, Ben Zhou, ujawnił, że 280 milionów dolarów z 1,4 miliarda dolarów skradzionych z giełdy kryptowalut podczas włamania w lutym zniknęło w niemożliwych do wyśledzenia kanałach.
3.4.25 Executive Summary on Hacked Funds:
Total hacked funds of USD 1.4bn around 500k ETH, 77% are still traceable, 20% has gone dark, 3% have been frozen.
Breakdown:
– 83% (417,348 ETH, ~$1B) have been converted into BTC with 6,954 wallets (Average 1.71 btc each) . This and…— Ben Zhou (@benbybit) March 4, 2025
Naruszenie bezpieczeństwa, przypisywane północnokoreańskiej grupie hakerskiej Lazarus , spowodowało kradzież około 500 000 Ether (ETH) z rezerw Bybit. Podczas gdy większość środków pozostaje widoczna na blockchainie, ogłoszenie Zhou podkreśla wyzwania, przed którymi stoją śledczy, ścigając się z czasem, aby zamrozić aktywa, zanim hakerzy w pełni je wypłacą.
Atak wykorzystał luki w zabezpieczeniach SafeWallet, zewnętrznej platformy portfela używanej przez Bybit. Hakerzy Lazarus włamali się do urządzenia dewelopera, wstrzykując złośliwy kod, który pozwolił im odprowadzić prawie 1,5 miliarda dolarów w ETH podczas rutynowego przelewu.
Mimo szybkiej reakcji firmy Bybit, która w ciągu kilku dni przywróciła zabezpieczenie 1:1 aktywów klientów, hakerzy nieustannie przesyłają skradzione środki pomiędzy wieloma platformami, co utrudnia odzyskiwanie środków.
Hakerzy wykorzystali THORChain do fragmentacji funduszy
Znaczna część skradzionego Etheru — 417 348 ETH o wartości około 1 miliarda dolarów — została zamieniona na Bitcoiny (BTC) i rozproszona w 6954 portfelach, z których każdy zawierał średnio 1,71 BTC.
Zhou zauważył, że 72% łupu, czyli 361 255 ETH o wartości 900 milionów dolarów, zostało przepuszczone przez THORChain, zdecentralizowaną giełdę znaną ze swoich funkcji prywatności.
Sam THORChain przetworzył rekordową kwotę 4,66 miliarda dolarów w swapach w tygodniu kończącym się 2 marca, zgarniając ponad 5,5 miliona dolarów opłat z tych nielegalnych transakcji.
Ta strategia fragmentacji i konwersji sprawiła, że śledzenie funduszy stało się coraz trudniejsze dla zespołów zajmujących się analizą blockchain.
Tymczasem 20% skradzionych aktywów — około 79 655 ETH — „zniknęło”, co oznacza, że zostały wyprane za pośrednictwem platform takich jak ExCH i stały się niemożliwe do wyśledzenia. Zhou podkreślił, że dodatkowe 40 233 ETH, warte 100 milionów dolarów, przeszło przez proxy Web3 OKX.
Z tego 23 553 ETH (65 milionów dolarów) pozostaje nie do wyśledzenia bez dalszej współpracy z zespołem OKX Wallet, podczas gdy 16 680 ETH jest nadal w zasięgu śledczych.
Dyrektor generalny podkreślił, że najbliższe jeden do dwóch tygodni są kluczowe, ponieważ hakerzy przygotowują się do rozładowania swoich łupów za pośrednictwem giełd, biur obrotu pozagiełdowego (OTC) i sieci peer-to-peer (P2P).
Bybit zatrudnił łowców nagród w ramach działań mających na celu zamrożenie systemu
Aby udaremnić ataki hakerów, Bybit zwrócił się o pomoc do łowców nagród i firm ochroniarskich. Zhou poinformował, że 11 stron — w tym prominentni gracze, tacy jak Mantle, Paraswap i detektyw blockchain ZachXBT — pomogło w zamrożeniu 42 milionów dolarów, czyli 3% skradzionych funduszy.
Do tej pory Bybit wypłacił tym darczyńcom 2,178 miliona dolarów w USDT w ramach swoich działań odzyskiwania, a więcej szczegółów można znaleźć na stronie Lazarusbounty.com.
Giełda nawiązała również współpracę z firmą ochroniarską Web3 ZeroShadow 25 lutego w celu ulepszenia analizy kryminalistycznej blockchain i zmaksymalizowania odzyskiwania aktywów. Pomimo tych wysiłków hakerzy nie wykazują oznak spowolnienia.
Firma analityczna blockchain Elliptic zidentyfikowała ponad 11 000 portfeli powiązanych z grupą Lazarus, co sugeruje rozległą sieć zaprojektowaną w celu zatarcia śladów.
🚨 Free Real-time Bybit Exploit Data 🚨
Elliptic has launched a free data feed of illicit addresses linked to the Bybit exploit.
🔍 Why it matters:
✅ Minimize exposure to sanctions
✅ Stop laundering of stolen funds
✅ Strengthen crypto securityAccess via CSV or API ⬇️… pic.twitter.com/U9Qa2tc8Zz
— Elliptic (@elliptic) February 25, 2025
Zhou zasugerował, że dodatkowe 65 milionów dolarów w ETH można by uratować dzięki wsparciu OKX, ale czasu jest coraz mniej, ponieważ atakujący kontynuują operacje prania pieniędzy za pośrednictwem platform takich jak ExCH i OKX Web3 Proxy.