Quasi il 28% dei cripto rubati nell'attacco hacker a Bybit da 1,4 miliardi di dollari è "scomparso".

Il CEO di Bybit ha lanciato un appello a un maggior numero di cacciatori di taglie per aiutare a rintracciare le criptovalute rubate, dato che quasi il 28% degli 1,4 miliardi di dollari saccheggiati dal gruppo Lazarus della Corea del Nord rimane irrecuperato.

Nel riassumere la situazione dei fondi rubati in un post su X del 21 aprile, il co-fondatore e CEO Ben Zhou ha dichiarato che circa 386 milioni di dollari dei fondi rubati sono "scomparsi" dopo essere stati trasferiti attraverso mixer e bridge verso diverse piattaforme peer-to-peer e over-the-counter.

Per chi non lo sapesse, i mixer di criptovalute sono servizi che nascondono l'origine degli asset digitali mescolando fondi provenienti da più utenti e ridistribuendoli a nuovi indirizzi.

Questo processo interrompe il collegamento on-chain tra mittente e destinatario, rendendo il tracciamento molto più difficile.

I mixer di criptovalute sono stati creati principalmente come strumento per migliorare la privacy, ma sono anche ampiamente sfruttati per riciclare fondi rubati.

Secondo Zhou, gli aggressori hanno sottratto circa 500.000 ETH a febbraio prendendo il controllo di un cold wallet.

Circa il 68,6% dei fondi rubati rimane tracciabile, mentre gli sforzi di recupero hanno finora bloccato poco meno del 4%, una porzione relativamente piccola, pari a circa 54 milioni di dollari.

L'ETH rubato è stato principalmente convertito in Bitcoin tramite THORChain, con 432.748 ETH (circa 1,21 miliardi di dollari) scambiati.

Di questi, 342.975 ETH, per un valore di circa 960 milioni di dollari, sono stati convertiti in 10.003 BTC e distribuiti su quasi 36.000 portafogli.

Altri 5.991 ETH, pari a circa 17 milioni di dollari, rimangono su Ethereum, distribuiti su 12.000 portafogli.

Per quanto riguarda Bitcoin, Zhou ha rivelato che 944 BTC (circa 90 milioni di dollari) sono passati attraverso il mixer Wasabi, con importi minori che sono poi confluiti in altri servizi, come CryptoMixer, Tornado Cash e Railgun.

Gli attori malintenzionati hanno inoltre sfruttato gli scambi cross-chain utilizzando piattaforme come eXch, Lombard, LiFi, Stargate e SunSwap, prima di liquidare definitivamente tramite canali di conversione in valuta fiat.

Per tracciare questi movimenti, a febbraio Bybit ha lanciato il programma Lazarus Bounty, offrendo 140 milioni di dollari di ricompensa a chiunque possa contribuire al processo di recupero.

Finora, sono stati convalidati solo 70 dei oltre 5.400 rapporti. La maggior parte dei 2,3 milioni di dollari di ricompense pagate è andata alla piattaforma layer-2 Mantle, che ha contribuito a bloccare 42 milioni di dollari di criptovalute rubate.

“Abbiamo bisogno di più cacciatori di taglie in grado di decodificare i mixer”, ha detto Zhou, sottolineando la crescente complessità nel tracciare questi fondi mentre rimbalzano su più catene.

Storia dell'attacco hacker a ByBit

L'attacco hacker a Bybit nel febbraio 2025 è diventato il più grande incidente di sicurezza che il settore delle criptovalute abbia mai visto dalla sua nascita.

Il gruppo di hacker Lazarus, sponsorizzato dallo stato nordcoreano, è stato indicato come il principale sospettato dell'attacco.

Il 21 febbraio, gli aggressori avrebbero sfruttato il portafoglio freddo multisig Ethereum di ByBit durante un trasferimento di routine al portafoglio caldo dell'exchange, manipolando l'interfaccia di firma.

Sebbene l'indirizzo del portafoglio corretto fosse visualizzato sul lato di ByBit, la logica sottostante del contratto intelligente era stata alterata per reindirizzare i fondi agli hacker.

Un rapporto separato pubblicato a marzo dalla società di sicurezza informatica Mandiant ha affermato che la violazione potrebbe essere iniziata con un falso progetto di investimento azionario infettato da malware.

Il malware sarebbe stato scaricato su un computer portatile Mac appartenente a uno sviluppatore di Safe{Wallet}, un fornitore di infrastrutture di terze parti integrato con Bybit.