Aggiornamento sul furto di Bybit: quasi 650 milioni di dollari in criptovalute rubate sono scomparsi.

Un grave furto di criptovalute, che ha visto la sottrazione di 1,4 miliardi di dollari dall'exchange Bybit, sta scatenando nuovi allarmi nel settore degli asset digitali.

Secondo i dati raccolti dalla piattaforma di scambio e dai ricercatori di sicurezza, circa 644 milioni di dollari di fondi rubati, quasi la metà del totale, sono scomparsi dai sistemi di monitoraggio della blockchain.

Questi fondi sono stati sistematicamente reindirizzati attraverso servizi di cripto-mixing, progettati per oscurare la provenienza e la destinazione delle transazioni.

Questo sviluppo getta nuova luce su come i metodi di riciclaggio di denaro si stanno evolvendo, in particolare con il continuo utilizzo di servizi che in precedenza erano stati sanzionati o dichiarati inattivi.

L'indagine evidenzia inoltre collegamenti con il gruppo di hacker nordcoreano TraderTraitor, che all'inizio di febbraio ha sfruttato una vulnerabilità nel computer portatile di uno sviluppatore.

L'exploit è stato reso possibile da un malware che si spacciava per un simulatore di investimento azionario e ha portato alla compromissione di credenziali sensibili.

Il riciclaggio di denaro è dominato da Wasabi Wallet ed eXch.

L'indagine di Bybit rivela che 247,5 milioni di dollari (circa 966 BTC) sono stati convogliati attraverso Wasabi Wallet, un portafoglio Bitcoin incentrato sulla privacy che utilizza CoinJoin per mescolare le transazioni.

Altri 94,1 milioni di dollari sono stati trasferiti tramite eXch, un servizio di riciclaggio di denaro meno conosciuto che aveva annunciato pubblicamente la sua chiusura nell'aprile 2025.

Tuttavia, esperti forensi hanno confermato che eXch rimane attivo tramite API di backend, consentendo il riciclaggio di denaro senza essere rilevato dalla maggior parte dei sistemi di monitoraggio standard.

Sono stati utilizzati anche servizi di miscelazione come Tornado Cash e Railgun, ma in misura minore.

TRM Labs ha confermato che Tornado Cash è stato utilizzato per riciclare 2,5 milioni di dollari in Ethereum, mentre Railgun ha facilitato transazioni in Ethereum per un valore di 1,7 milioni di dollari.

Questi servizi operano raggruppando i fondi di più utenti e ridistribuendoli in un modo che rende la tracciabilità quasi impossibile.

Gli analisti di TRM Labs hanno descritto l'attività di riciclaggio come "estremamente difficile" da tracciare a causa del modo in cui le transazioni vengono raggruppate e ridistribuite.

L'attività di eXch suscita preoccupazione dopo la dichiarazione di chiusura.

In particolare, eXch ha attirato molta attenzione a causa della sua dichiarazione di chiusura prevista per aprile.

I ricercatori specializzati in sicurezza delle criptovalute, inclusi gli analisti di TRM Labs, hanno confermato che il backend del servizio è ancora operativo.

La persistenza dell'infrastruttura di eXch, anche dopo l'annuncio pubblico della sua chiusura, ha aggiunto un ulteriore livello di complessità alle indagini in corso.

Una delle principali difficoltà per gli investigatori è l'assoluta opacità creata da questi servizi di mista-moneta. Le transazioni diventano praticamente impossibili da tracciare una volta che entrano in questi sistemi.

TRM Labs ha osservato che, poiché tutti i fondi in entrata e in uscita vengono mescolati, non è possibile identificare singoli utenti o indirizzi dietro i trasferimenti.

Questo limita l'efficacia degli strumenti di trasparenza della blockchain, anche quando viene applicata l'analisi forense.

Il gruppo TraderTraitor, legato alla Corea del Nord, è ritenuto responsabile della violazione.

A complicare ulteriormente la situazione è il presunto coinvolgimento di attori sponsorizzati dallo Stato.

Safe, un wallet per crypto , ha pubblicato nel marzo 2025 dettagli che indicano che il gruppo di hacker nordcoreano TraderTraitor era responsabile della violazione iniziale.

Gli hacker sono riusciti ad accedere ai fondi di Bybit compromettendo il MacBook di uno sviluppatore presso Safe.

L'attacco è stato eseguito integrando un malware in un file Docker mascherato come un simulatore di investimento azionario.

Una volta eseguito, il malware si è connesso a un dominio sospetto e ha installato script dannosi che hanno estratto i token di sessione AWS.

Questi token sono stati poi utilizzati per aggirare l'autenticazione multifattoriale e accedere ai sistemi di backend di Bybit.

L'incidente è avvenuto all'inizio di febbraio ed è tra i più grandi furti di criptovalute del 2025.

Ha innescato un rinnovato controllo da parte degli organi di regolamentazione e ha suscitato dibattiti sulle vulnerabilità dell'infrastruttura Web3, in particolare sui punti finali degli sviluppatori e sulle credenziali di accesso al cloud.