- Генеральний директор Bybit заявив, що 20% із $1,4 млрд, вкрадених з біржі, зараз неможливо відстежити.
- Хакери конвертували $1 млрд ETH в BTC через THORChain і поширили їх.
- Наразі 11 мисливців за головами допомогли заморозити 42 мільйони доларів із викрадених коштів.
У приголомшливому оновленні генеральний директор Bybit Бен Чжоу повідомив, що 280 мільйонів доларів із 1,4 мільярда доларів, викрадених з криптовалютної біржі під час злому в лютому, зникли в каналах, які неможливо відстежити.
3.4.25 Executive Summary on Hacked Funds:
Total hacked funds of USD 1.4bn around 500k ETH, 77% are still traceable, 20% has gone dark, 3% have been frozen.
Breakdown:
– 83% (417,348 ETH, ~$1B) have been converted into BTC with 6,954 wallets (Average 1.71 btc each) . This and…— Ben Zhou (@benbybit) March 4, 2025
Порушення безпеки, пов’язане з хакерською групою Північної Кореї Lazarus , призвело до викрадення приблизно 500 000 ефірів (ETH) із резервів Bybit.
Хоча більшість коштів залишається видимою в блокчейні, заява Чжоу підкреслює проблеми, з якими стикаються слідчі, які намагаються заморозити активи до того, як хакери повністю їх отримають. Атака використовувала вразливості в SafeWallet, сторонній платформі гаманців, яку використовує Bybit.
Хакери Lazarus скомпрометували пристрій розробника, впровадивши шкідливий код, який дозволив їм вивести майже 1,5 мільярда доларів ETH під час звичайної передачі.
Незважаючи на швидкі дії Bybit щодо відновлення підтримки клієнтських активів 1:1 протягом кількох днів, хакери невпинно переміщували викрадені кошти на кількох платформах, ускладнюючи спроби відновлення.
Хакери використовували THORChain для фрагментації коштів
Значна частина вкраденого ефіру — 417 348 ETH на суму близько 1 мільярда доларів — була конвертована в біткойн (BTC) і розкидана по 6 954 гаманцях, кожен з яких містить у середньому 1,71 BTC. Чжоу зауважив, що 72% траву, або 361 255 ETH на суму 900 мільйонів доларів, було спрямовано через THORChain, децентралізовану біржу, відому своїми функціями конфіденційності.
Лише THORChain за тиждень, що закінчився 2 березня, обробив рекордні свопи на суму 4,66 мільярда доларів, отримавши понад 5,5 мільйона доларів комісії від цих незаконних транзакцій. Ця стратегія фрагментації та конвертації ускладнює відстеження коштів для експертів блокчейну.
Тим часом 20% викрадених активів — приблизно 79 655 ETH — «потемніли», тобто їх відмили через такі платформи, як ExCH, і їх не вдалося відстежити. Чжоу підкреслив, що додаткові 40 233 ETH на суму 100 мільйонів доларів пройшли через проксі-сервер Web3 OKX.
З них 23 553 ETH (65 мільйонів доларів) залишаються невідстеженими без подальшої співпраці з командою OKX Wallet, а 16 680 ETH все ще знаходяться в межах досяжності слідчих.
Генеральний директор підкреслив, що наступні один-два тижні є ключовими, оскільки хакери готуються розвантажити свою діяльність через біржі, позабіржові торгові точки (OTC) і однорангові (P2P) мережі.
Bybit залучив мисливців за головами в умовах замерзання
Щоб перешкодити хакерам, Bybit заручився допомогою мисливців за головами та охоронних фірм. Чжоу повідомив, що 11 сторін, включаючи таких відомих гравців, як Mantle, Paraswap і блокчейн-шук ZachXBT, допомогли заморозити 42 мільйони доларів, або 3% викрадених коштів.
Наразі Bybit виплатив 2,178 мільйона доларів США цим співавторам у рамках своїх зусиль щодо відновлення, з більш детальною інформацією на Lazarusbounty.com. 25 лютого біржа також співпрацювала з фірмою безпеки Web3 ZeroShadow, щоб покращити криміналістичну експертизу блокчейну та максимізувати відновлення активів. Незважаючи на ці зусилля, хакери не виявляють жодних ознак сповільнення.
Фірма Elliptic, що займається аналізом блокчейнів, ідентифікувала понад 11 000 гаманців, пов’язаних із групою Lazarus, що свідчить про розгалужену мережу, призначену для приховування їхніх слідів.
🚨 Free Real-time Bybit Exploit Data 🚨
Elliptic has launched a free data feed of illicit addresses linked to the Bybit exploit.
🔍 Why it matters:
✅ Minimize exposure to sanctions
✅ Stop laundering of stolen funds
✅ Strengthen crypto securityAccess via CSV or API ⬇️… pic.twitter.com/U9Qa2tc8Zz
— Elliptic (@elliptic) February 25, 2025
Чжоу вказав, що додаткові 65 мільйонів доларів ETH можна було б врятувати за підтримки OKX, але час спливає, оскільки зловмисники продовжують операції з відмивання через такі платформи, як ExCH і OKX Web3 Proxy.