Wat gebeurt er met de 1,4 miljard dollar die bij de Bybit-hack zijn gestolen?

De prominente cryptocurrency exchange Bybit is gehackt voor meer dan $1,4 miljard, wat wordt beschouwd als de grootste diefstal in de geschiedenis van de branche. Experts suggereren dat de gestolen fondsen waarschijnlijk zullen worden witgewassen via mixers en cross-chain bruggen.

Volgens een recent rapport van het Web3-beveiligingsbedrijf Elliptic, zou de beruchte Lazarus Group uit Noord-Korea, die volgens Elliptic verantwoordelijk is voor de aanval, mogelijk haar gebruikelijke witwaspatroon volgen.

Momenteel bevinden de Bybit-hackers zich in wat het rapport de "layering-fase" noemt, de tweede fase van hun witwasproces.

In deze fase probeert de Lazarus Group de herkomst van de fondsen te verhullen door ze over meerdere wallets te verspreiden, cross-chain bridges te gebruiken om activa tussen blockchains te verplaatsen en tokens op gedecentraliseerde platforms te verhandelen om het traceren te bemoeilijken.

Hieraan voorafgaand vond de eerste omzetting van gestolen tokens in ETH plaats, een typische eerste stap in hun witwasstrategie.

“Dit komt doordat tokens uitgevers hebben die in sommige gevallen wallets met gestolen activa kunnen ‘bevriezen’, terwijl er geen centrale partij is die Ether of Bitcoin kan bevriezen,” legde het rapport uit.

Binnen twee uur na de aanval werden de gestolen fondsen verdeeld over 50 verschillende wallets, elk met ongeveer 10.000 ETH.

Elliptic merkte op dat de aanvallers sindsdien systematisch deze wallets zijn gaan leegmaken, waarbij al meer dan 10% van de gestolen fondsen in beweging is.

De volgende waarschijnlijke stap, zo denken experts, zal het doorsturen van delen van het geld via cryptomixers zoals Tornado Cash omvatten.

De Lazarus Group staat bekend om het gebruik van Tornado Cash, en het platform heeft in het verleden veel kritiek gekregen voor het faciliteren van Noord-Koreaanse cryptowitwasactiviteiten.

Elliptic beschuldigde ook de crypto exchange eXch van een belangrijke rol in het witwasproces en voegde eraan toe dat aanvallers deze gebruikten om de gestolen Ether om te zetten in Bitcoin.

eXch is “naar voren gekomen als een belangrijke en gewillige facilitator van deze witwasoperatie”, aldus het rapport, dat eraan toevoegde dat het platform zelfs weigerde deze transacties te blokkeren ondanks directe verzoeken van ByBit.

De beurs heeft deze beschuldigingen in een update na het incident ontkend.

Ondanks deze inspanningen geloven experts van Elliptic dat het witwassen van zo'n enorm bedrag niet eenvoudig zal zijn voor de hackers.

De enorme hoeveelheid gestolen activa verhoogt het risico op ontdekking, aangezien grote transacties eerder waarschuwingen op beurzen en blockchain-monitoring systemen activeren.

De ByBit-hack van $1,4 miljard

Op 21 februari maakten de aanvallers misbruik van ByBit's Ethereum multisig cold wallet tijdens een routineoverdracht naar de warm wallet van de beurs.

De aanvallers manipuleerden de ondertekeningsinterface, waardoor het juiste walletadres werd weergegeven terwijl de onderliggende logica van het smart contract werd gewijzigd.

Voor meer dan $1,4 miljard aan diverse activa, zoals Mantle Staked ETH (mETH) en andere ERC-20 tokens, werd de beurs leeggehaald.

Onafhankelijke crypto-onderzoeker ZachXBT ontdekte directe on-chain links tussen de Bybit-hack en de recente inbreuk op de Phemex-beurs, die beide vermoedelijk het werk zijn van de Lazarus Group.

Bij beide incidenten werd hetzelfde adres van de eerste diefstal gebruikt.

ByBit heeft echter verduidelijkt dat alle getroffen gebruikers volledig schadeloos zullen worden gesteld en heeft een beloningsprogramma van $140 miljoen gelanceerd voor cybersecurity-experts en blockchain-analisten die helpen bij het opsporen en terugvinden van gestolen activa.