Kemas kini penggodaman Bybit: hampir $650M dalam crypto yang dicuri telah hilang

Kecurian kripto utama yang melibatkan $1.4 bilion yang dicuri daripada pertukaran Bybit meningkatkan loceng penggera baharu dalam industri aset digital.

Menurut data yang dikumpulkan oleh bursa dan penyelidik keselamatan, kira-kira $644 juta dana yang dicuri - hampir separuh daripada jumlah keseluruhan - telah hilang daripada pemantauan blockchain yang boleh dikesan.

Dana ini telah disalurkan secara sistematik melalui perkhidmatan pencampuran kripto, yang direka untuk mengaburkan sumber dan destinasi transaksi.

Perkembangan ini memberi pencerahan baharu tentang cara kaedah pencucian haram berkembang, terutamanya dengan penggunaan berterusan perkhidmatan yang sebelum ini telah dibenarkan atau didakwa tidak berfungsi.

Siasatan itu juga menunjukkan hubungan dengan kumpulan penggodam Korea Utara TraderTraitor, yang mengeksploitasi kelemahan dalam komputer riba pembangun pada awal Februari.

Eksploitasi itu didayakan oleh perisian hasad yang menyamar sebagai simulator pelaburan saham dan membawa kepada kompromi kelayakan sensitif.

Pengubahan dikuasai oleh Wasabi Wallet dan eXch

Siasatan Bybit mendedahkan bahawa $247.5 juta (kira-kira 966 BTC) telah disalurkan melalui Wasabi Wallet, dompet Bitcoin yang memfokuskan privasi yang menggunakan CoinJoin untuk mencampurkan transaksi.

$94.1 juta lagi telah dipindahkan melalui eXch, perkhidmatan pencampuran yang kurang dikenali yang telah mengumumkan penutupannya secara terbuka pada April 2025.

Walau bagaimanapun, pakar forensik telah mengesahkan bahawa eXch kekal aktif melalui API bahagian belakang, membolehkan pengubahan haram berterusan tanpa dikesan oleh kebanyakan monitor standard.

Perkhidmatan pencampuran seperti Tornado Cash dan Railgun juga digunakan, tetapi pada tahap yang lebih rendah.

TRM Labs mengesahkan bahawa Tornado Cash telah digunakan untuk mencuci $2.5 juta dalam Ethereum, manakala Railgun memudahkan $1.7 juta dalam transaksi Ethereum.

Perkhidmatan ini beroperasi dengan mengumpulkan berbilang dana pengguna dan mengagihkannya semula dengan cara yang menyebabkan pengesanan hampir mustahil.

Penganalisis di TRM Labs menyifatkan aktiviti pengubahan haram sebagai "amat sukar" untuk dijejaki disebabkan oleh cara transaksi dihimpun dan diagihkan semula.

Aktiviti eXch menimbulkan kebimbangan selepas mendakwa ditutup

eXch, khususnya, telah menarik perhatian penting kerana dakwaannya ditutup pada bulan April.

Penyelidik keselamatan kripto, termasuk penganalisis di TRM Labs, telah mengesahkan bahawa bahagian belakang perkhidmatan masih beroperasi.

Kegigihan infrastruktur eXch, walaupun selepas pengumuman awam mengenai penutupannya, telah menambahkan lapisan kerumitan kepada penyiasatan yang sedang dijalankan.

Cabaran utama bagi penyiasat ialah kelegapan lengkap yang dicipta oleh pengadun ini. Transaksi menjadi hampir mustahil untuk diikuti sebaik sahaja mereka memasuki perkhidmatan ini.

TRM Labs menyatakan bahawa kerana semua dana masuk dan keluar bercampur bersama, adalah tidak mungkin untuk mengenal pasti pengguna individu atau alamat di sebalik pemindahan.

Ini mengehadkan keberkesanan alat ketelusan blockchain, walaupun apabila analisis forensik digunakan.

Kumpulan TraderTraitor yang dikaitkan dengan Korea Utara dipersalahkan kerana melanggar

Lebih merumitkan kes ialah dakwaan penglibatan pelakon tajaan kerajaan.

Safe, penyedia antara muka dompet crypto, menerbitkan butiran pada Mac 2025 yang menunjukkan bahawa kumpulan penggodam Korea Utara TraderTraitor berada di sebalik pelanggaran asal.

Penggodam mendapat akses kepada dana Bybit selepas menjejaskan MacBook pembangun di Safe.

Serangan itu dilakukan dengan membenamkan perisian hasad dalam fail Docker yang menyamar sebagai simulator pelaburan saham.

Setelah dilaksanakan, perisian hasad disambungkan ke domain yang mencurigakan dan memasang skrip hasad yang mengekstrak token sesi AWS.

Token ini kemudiannya digunakan untuk memintas pengesahan berbilang faktor dan mengakses sistem hujung belakang Bybit.

Pelanggaran itu berlaku pada awal Februari dan merupakan antara kecurian mata wang kripto terbesar pada tahun 2025.

Ia telah mencetuskan penelitian baharu daripada pengawal selia dan mendorong perdebatan mengenai kelemahan dalam infrastruktur Web3, terutamanya titik akhir pembangun dan kelayakan akses awan.