Nesten 28% av krypto stjålet i $1,4B Bybit-hack har "blitt mørkt"

Bybits administrerende direktør har bedt om flere dusørjegere for å hjelpe til med å spore stjålet krypto, ettersom nesten 28 % av de 1,4 milliarder dollarene som ble plyndret av Nord-Koreas Lazarus-konsern fortsatt ikke er gjort rede for.

Mens han detaljerte sammendraget om hackede midler i et X-innlegg den 21. april, sa medgründer og administrerende direktør Ben Zhou at rundt 386 millioner dollar av de hackede midlene har "blitt mørkt" etter å ha blitt ført gjennom miksere og broer mot flere peer-to-peer og over-the-counter-plattformer.

For de uvitende er kryptomiksere tjenester som skjuler opprinnelsen til digitale eiendeler ved å blande midler fra flere brukere og omfordele dem til nye adresser.

Denne prosessen bryter kjeden mellom sender og mottaker, noe som gjør sporing mye vanskeligere.

Cryptocurrency-miksere ble først og fremst laget som et personvernforbedrende verktøy, men de blir også mye utnyttet for å hvitvaske stjålne midler.

Ifølge Zhou tappet angriperne rundt 500 000 ETH i februar ved å ta kontroll over en kald lommebok.

Omtrent 68,6 % av de stjålne midlene forblir sporbare, mens gjenopprettingsarbeid så langt har frosset i underkant av 4 %, en relativt liten del, som beløper seg til rundt 54 millioner dollar.

Den stjålne ETH-en ble først og fremst flyttet til Bitcoin via THORChain, med 432 748 ETH (rundt 1,21 milliarder dollar) byttet ut.

Av dette ble 342.975 ETH, verdsatt til omtrent $960 millioner, konvertert til 10.003 BTC og fordelt på nesten 36.000 lommebøker.

Ytterligere 5 991 ETH, eller omtrent 17 millioner dollar, gjenstår på Ethereum fordelt på 12 000 lommebøker.

På Bitcoin-siden avslørte Zhou at 944 BTC (omtrent $90 millioner) gikk gjennom Wasabi-mikseren, med mindre beløp som deretter gikk inn i andre tjenester, som CryptoMixer, Tornado Cash og Railgun.

Dårlige aktører utnyttet også krysskjedebytter ved å bruke plattformer som eXch, Lombard, LiFi, Stargate og SunSwap før de til slutt likviderte via fiat-avkjøringsramper.

For å spore disse bevegelsene lanserte Bybit Lazarus Bounty-programmet i februar, og tilbyr 140 millioner dollar i belønning til alle som kan hjelpe med gjenopprettingsprosessen.

Så langt er bare 70 av mer enn 5400 rapporter validert. En stor del av de utbetalte 2,3 millioner dollar i dusører har gått til lag-2-plattformen Mantle, som bidro til å fryse 42 millioner dollar av den stjålne kryptoen.

"Vi trenger flere dusørjegere som kan dekode miksere," sa Zhou og la merke til den økende kompleksiteten i å spore disse midlene når de spretter over flere kjeder.

Historien om ByBit-hacket

Bybit-hakket i februar 2025 ble den største sikkerhetshendelsen kryptoindustrien har vært vitne til siden starten.

Den nordkoreanske statsstøttede hackergruppen Lazarus har blitt hyllet som hovedmistenkt bak bruddet.

21. februar skal angriperne ha utnyttet ByBits Ethereum multisig kalde lommebok under en rutinemessig overføring til børsens varme lommebok ved å manipulere signeringsgrensesnittet.

Selv om den riktige lommebokadressen ble vist på ByBits side, hadde den underliggende smarte kontraktslogikken blitt endret for å omdirigere midler til hackerne.

En egen rapport utgitt i mars av cybersikkerhetsfirmaet Mandiant hevdet at bruddet kan ha startet med et falskt aksjeinvesteringsprosjekt med skadelig programvare.

Skadevaren ble angivelig lastet ned til en bærbar Mac som tilhører en utvikler hos Safe{Wallet}, en tredjeparts infrastrukturleverandør integrert med Bybit.