Bybit-Hack-Update: Fast 700 Millionen US-Dollar an gestohlener Kryptowährung sind verschwunden.

Ein größerer Krypto-Diebstahl, bei dem 1,4 Milliarden US-Dollar von der Börse Bybit gestohlen wurden, löst in der Branche für digitale Vermögenswerte neue Alarmglocken aus.

Laut Daten, die von der Börse und Sicherheitsforschern zusammengestellt wurden, sind etwa 644 Millionen US-Dollar an gestohlenen Geldern – fast die Hälfte des Gesamtbetrags – aus der nachverfolgbaren Blockchain-Überwachung verschwunden.

Diese Gelder wurden systematisch über Kryptomischdienste geleitet, die darauf ausgelegt sind, die Quelle und das Ziel von Transaktionen zu verschleiern.

Diese Entwicklung wirft ein neues Licht darauf, wie sich Geldwäschemethoden weiterentwickeln, insbesondere mit der fortgesetzten Nutzung von Dienstleistungen, die zuvor sanktioniert wurden oder angeblich eingestellt wurden.

Die Untersuchung deutet auch auf Verbindungen zur nordkoreanischen Hacker-Gruppe TraderTraitor hin, die Anfang Februar eine Schwachstelle in einem Entwickler-Laptop ausnutzte.

Die Sicherheitslücke wurde durch Schadsoftware ausgenutzt, die sich als Aktienanlage-Simulator ausgab, und führte zur Gefährdung sensibler Anmeldedaten.

Die Geldwäsche wird von Wasabi Wallet und eXch dominiert.

Die Untersuchung von Bybit zeigt, dass 247,5 Millionen US-Dollar (etwa 966 BTC) über Wasabi Wallet geleitet wurden, eine auf Datenschutz ausgerichtete Bitcoin-Wallet, die CoinJoin verwendet, um Transaktionen zu mischen.

Weitere 94,1 Millionen Dollar wurden über eXch transferiert, einen weniger bekannten Mischdienst, der im April 2025 öffentlich seine Schließung angekündigt hatte.

Forensische Experten haben jedoch bestätigt, dass eXch über Backend-APIs weiterhin aktiv ist, was es ermöglicht, Geldwäsche unbemerkt von den meisten Standardüberwachungsmechanismen fortzusetzen.

Auch Mischdienste wie Tornado Cash und Railgun wurden eingesetzt, jedoch in geringerem Umfang.

TRM Labs bestätigte, dass Tornado Cash verwendet wurde, um 2,5 Millionen US-Dollar in Ethereum zu waschen, während Railgun 1,7 Millionen US-Dollar an Ethereum-Transaktionen ermöglichte.

Diese Dienste funktionieren, indem sie die Gelder mehrerer Nutzer zusammenführen und diese dann so umverteilen, dass eine Rückverfolgung nahezu unmöglich wird.

Analysten von TRM Labs beschrieben die Geldwäscheaktivitäten als „äußerst schwierig“ zu verfolgen, aufgrund der Art und Weise, wie Transaktionen gebündelt und umverteilt werden.

Die Aktivität von eXch wirft nach der angeblichen Schließung Fragen auf.

eXch hat insbesondere aufgrund der Ankündigung seiner Schließung im April erhebliche Aufmerksamkeit erregt.

Forscher im Bereich der Cybersicherheit, darunter Analysten von TRM Labs, haben bestätigt, dass das Backend des Dienstes weiterhin in Betrieb ist.

Die anhaltende Existenz der Infrastruktur von eXch, selbst nach der öffentlichen Ankündigung ihrer Schließung, hat den laufenden Ermittlungen eine zusätzliche Komplexität verliehen.

Eine große Herausforderung für Ermittler ist die völlige Undurchsichtigkeit, die durch diese Geldwäschedienste entsteht. Transaktionen lassen sich kaum noch nachverfolgen, sobald sie in diese Dienste gelangen.

TRM Labs stellte fest, dass es aufgrund der Vermischung aller eingehenden und ausgehenden Gelder nicht möglich ist, einzelne Benutzer oder Adressen hinter den Überweisungen zu identifizieren.

Dies schränkt die Wirksamkeit von Blockchain-Transparenztools ein, selbst wenn forensische Analysen angewendet werden.

TraderTraitor-Gruppe mit Nordkorea-Verbindungen für Datenleck verantwortlich gemacht

Die Angelegenheit wird zusätzlich dadurch kompliziert, dass angeblich staatlich geförderte Akteure beteiligt sind.

Safe, ein Anbieter von Schnittstellen für Crypto wallet , veröffentlichte im März 2025 Details, die darauf hindeuten, dass die nordkoreanische Hacker-Gruppe TraderTraitor hinter dem ursprünglichen Sicherheitsverstoß steckte.

Die Hacker erhielten Zugriff auf Bybit-Gelder, nachdem sie das MacBook eines Entwicklers bei Safe kompromittiert hatten.

Der Angriff wurde durchgeführt, indem Schadsoftware in eine Docker-Datei eingebettet wurde, die als Aktienanlage-Simulator getarnt war.

Nach der Ausführung verband sich die Schadsoftware mit einer verdächtigen Domain und installierte bösartige Skripte, die AWS-Sitzungstoken extrahierten.

Diese Token wurden dann verwendet, um die Zwei-Faktor-Authentifizierung zu umgehen und auf die Backend-Systeme von Bybit zuzugreifen.

Der Vorfall ereignete sich Anfang Februar und gehört zu den größten Kryptowährungsdiebstählen im Jahr 2025.

Es hat zu einer erneuten Überprüfung durch Aufsichtsbehörden geführt und Debatten über die Schwachstellen in der Web3-Infrastruktur ausgelöst, insbesondere bei Entwickler-Endpunkten und Cloud-Zugangsdaten.