Bybit hack-opdatering: Stjålne kryptovalutaer forsvundet for næsten 700 millioner dollars

Et større kryptotyveri, der involverede 1,4 milliarder dollars stjålet fra børsen Bybit, får nye alarmklokker til at ringe i den digitale aktivindustri.

Ifølge data indsamlet af børsen og sikkerhedsforskere er omkring 644 millioner dollars i stjålne midler - næsten halvdelen af ​​det samlede beløb - forsvundet fra sporbar blockchain-overvågning.

Disse midler er systematisk blevet dirigeret gennem kryptoblandingstjenester, som er designet til at skjule kilden og destinationen for transaktioner.

Denne udvikling kaster nyt lys over, hvordan hvidvaskningsmetoder udvikler sig, især med den fortsatte brug af tjenester, der tidligere er blevet godkendt eller hævdes at være nedlagt.

Undersøgelsen peger også på forbindelser til den nordkoreanske hackergruppe TraderTraitor, som udnyttede en sårbarhed i en udviklers bærbare computer i starten af ​​februar.

Angrebet blev muliggjort af malware, der udgav sig for at være en aktieinvesteringssimulator, og førte til kompromittering af følsomme loginoplysninger.

Hvidvaskning domineres af Wasabi Wallet og eXch

Bybits undersøgelse afslører, at 247,5 millioner dollars (ca. 966 BTC) blev sendt gennem Wasabi Wallet, en privatlivsfokuseret Bitcoin-wallet, der bruger CoinJoin til at blande transaktioner.

Yderligere 94,1 millioner dollars blev flyttet gennem eXch, en mindre kendt mixtjeneste, der offentligt havde annonceret sin lukning i april 2025.

Retsmedicinske eksperter har dog bekræftet, at eXch forbliver aktiv via backend-API'er, hvilket gør det muligt for hvidvaskning at fortsætte uopdaget af de fleste standardmonitorer.

Blandingstjenester som Tornado Cash og Railgun blev også brugt, men i mindre omfang.

TRM Labs bekræftede, at Tornado Cash blev brugt til at hvidvaske 2,5 millioner dollars i Ethereum, mens Railgun muliggjorde transaktioner for 1,7 millioner dollars.

Disse tjenester fungerer ved at samle flere brugeres midler og omfordele dem på en måde, der gør sporing næsten umulig.

Analytikere hos TRM Labs beskrev hvidvaskningsaktiviteten som "ekstremt vanskelig" at spore på grund af den måde, transaktioner bundtes og omfordeles på.

eXchs aktivitet vækker bekymring efter påstand om nedlukning

Især eXch har tiltrukket sig betydelig opmærksomhed på grund af sin påstand om at lukke ned i april.

Kryptosikkerhedsforskere, herunder analytikere hos TRM Labs, har bekræftet, at tjenestens backend stadig fungerer.

eXchs vedvarende infrastruktur, selv efter en offentlig meddelelse om dens lukning, har tilføjet et lag af kompleksitet til de igangværende undersøgelser.

En stor udfordring for efterforskere er den fuldstændige uigennemsigtighed, som disse mixere skaber. Transaktioner bliver næsten umulige at følge, når de først er kommet ind i disse tjenester.

TRM Labs bemærkede, at fordi alle indgående og udgående midler blandes sammen, er det ikke muligt at identificere individuelle brugere eller adresser bag overførslerne.

Dette begrænser effektiviteten af ​​blockchain-gennemsigtighedsværktøjer, selv når der anvendes retsmedicinsk analyse.

Nordkoreansk-forbundne TraderTraitor-gruppe beskyldt for brud

Sagen kompliceres yderligere af den påståede involvering af statssponsorerede aktører.

Safe, en udbyder af krypto wallet , offentliggjorde detaljer i marts 2025, der indikerede, at den nordkoreanske hackergruppe TraderTraitor stod bag det oprindelige brud.

Hackerne fik adgang til Bybit-midler efter at have kompromitteret en udviklers MacBook hos Safe.

Angrebet blev udført ved at indlejre malware i en Docker-fil forklædt som en aktieinvesteringssimulator.

Efter kørsel oprettede malwaren forbindelse til et mistænkeligt domæne og installerede ondsindede scripts, der udtrak AWS-sessionstokens.

Disse tokens blev derefter brugt til at omgå multifaktor-godkendelse og få adgang til Bybits backend-systemer.

Bruddet fandt sted i starten af ​​februar og er blandt de største kryptovalutatyverier i 2025.

Det har udløst fornyet granskning fra regulatorer og ansporet debatter om sårbarheder i Web3-infrastrukturen, især udviklernes slutpunkter og cloud-adgangsoplysninger.