Bybit-hakkerointipäivitys: Lähes 650 miljoonaa dollaria varastettua kryptoa on kadonnut

Bybit-pörssistä varastettu 1,4 miljardin dollarin kryptovarkaus nostaa uusia hälytyskelloja digitaalisten omaisuuserien alalla.

Pörssin ja tietoturvatutkijoiden kokoamien tietojen mukaan noin 644 miljoonaa dollaria varastettuja varoja – lähes puolet kokonaismäärästä – on kadonnut jäljitettävästä lohkoketjuseurannasta.

Näitä varoja on reititetty järjestelmällisesti kryptovaluuttasekoituspalveluiden kautta, joiden tarkoituksena on hämärtää tapahtumien lähde ja kohde.

Tämä kehitys valaisee uutta näkökulmaa rahanpesumenetelmien kehitykseen, erityisesti sellaisten palveluiden jatkuvan käytön myötä, joille on aiemmin määrätty sanktioita tai joiden väitetään olevan lakkautettuja.

Tutkinta viittaa myös yhteyksiin pohjoiskorealaiseen hakkeriryhmään TraderTraitor, joka hyödynsi kehittäjän kannettavan tietokoneen haavoittuvuutta helmikuun alussa.

Hyökkäyksen mahdollisti osakesijoitussimulaattoriksi tekeytynyt haittaohjelma, joka johti arkaluonteisten tunnistetietojen vaarantumiseen.

Wasabi Wallet ja eXch hallitsevat rahanpesua

Bybitin tutkimus paljastaa, että 247,5 miljoonaa dollaria (noin 966 BTC) reititettiin Wasabi Walletin kautta. Wasabi Wallet on yksityisyyteen keskittyvä Bitcoin-lompakko, joka käyttää CoinJoinia tapahtumien yhdistämiseen.

Lisäksi 94,1 miljoonaa dollaria siirrettiin eXchin kautta, joka on vähemmän tunnettu miksauspalvelu, joka oli julkisesti ilmoittanut sulkemisestaan ​​huhtikuussa 2025.

Oikeuslääketieteen asiantuntijat ovat kuitenkin vahvistaneet, että eXch pysyy aktiivisena taustapään API-rajapintojen kautta, minkä ansiosta rahanpesu voi jatkua useimpien tavanomaisten valvontajärjestelmien havaitsematta.

Myös miksauspalveluita, kuten Tornado Cash ja Railgun, käytettiin, mutta vähäisemmässä määrin.

TRM Labs vahvisti, että Tornado Cashia käytettiin 2,5 miljoonan dollarin Ethereumin pesuun, kun taas Railgun edisti 1,7 miljoonan dollarin Ethereum-tapahtumia.

Nämä palvelut toimivat yhdistämällä useiden käyttäjien varoja ja jakamalla ne uudelleen tavalla, joka tekee jäljittämisestä lähes mahdotonta.

TRM Labsin analyytikot kuvailivat rahanpesutoimintaa "äärimmäisen vaikeaksi" seurata johtuen tavasta, jolla tapahtumat niputetaan ja jaetaan uudelleen.

eXchin toiminta herättää huolta sulkemisilmoituksen jälkeen

Erityisesti eXch on herättänyt merkittävää huomiota väitteensä vuoksi sulkemisesta huhtikuussa.

Kryptoturvallisuuden tutkijat, mukaan lukien TRM Labsin analyytikot, ovat vahvistaneet, että palvelun taustajärjestelmä on edelleen toiminnassa.

eXchin infrastruktuurin säilyminen, jopa sen julkisen sulkemisilmoituksen jälkeen, on lisännyt meneillään olevien tutkimusten monimutkaisuutta.

Tutkijoille suuri haaste on näiden mikserien luoma täydellinen läpinäkymättömyys. Transaktioiden seuraaminen tulee lähes mahdottomaksi, kun ne tulevat näihin palveluihin.

TRM Labs huomautti, että koska kaikki saapuvat ja lähtevät varat sekoitetaan, yksittäisten käyttäjien tai siirtojen takana olevien osoitteiden tunnistaminen ei ole mahdollista.

Tämä rajoittaa lohkoketjun läpinäkyvyystyökalujen tehokkuutta, jopa silloin, kun käytetään rikosteknistä analyysia.

Pohjois-Koreaan kytköksissä olevaa TraderTraitor-ryhmää syytetään tietomurrosta

Tapausta mutkistaa entisestään valtion tukemien toimijoiden väitetty osallisuus.

Crypto wallet käyttöliittymän tarjoaja Safe julkaisi maaliskuussa 2025 tietoja, jotka viittasivat siihen, että pohjoiskorealainen hakkeriryhmä TraderTraitor oli alkuperäisen tietomurron takana.

Hakkerit pääsivät käsiksi Bybitin varoihin murtauduttuaan kehittäjän MacBookiin Safe-sivustolla.

Hyökkäys tehtiin upottamalla haittaohjelma Docker-tiedostoon, joka oli naamioitu osakesijoitussimulaattoriksi.

Suoritettuaan haittaohjelma muodosti yhteyden epäilyttävään verkkotunnukseen ja asensi haitallisia komentosarjoja, jotka poimivat AWS-istuntokeneita.

Näitä tokeneita käytettiin sitten monivaiheisen todennuksen ohittamiseen ja Bybitin taustajärjestelmiin pääsyyn.

Tietomurto tapahtui helmikuun alussa ja on yksi vuoden 2025 suurimmista kryptovaluuttavarkauksista.

Se on herättänyt sääntelyviranomaisten uudelleen tarkastelun ja keskustelua Web3-infrastruktuurin haavoittuvuuksista, erityisesti kehittäjien päätepisteissä ja pilvikäyttöoikeuksissa.