Bybit hack-oppdatering: nesten 650 millioner dollar i stjålet krypto har forsvunnet

Et stort kryptotyveri som involverer 1,4 milliarder dollar stjålet fra børsen Bybit vekker nye alarmklokker i bransjen for digitale aktiva.

Ifølge data samlet av børsen og sikkerhetsforskere har rundt 644 millioner dollar i stjålne midler – nesten halvparten av totalen – forsvunnet fra sporbar blokkjedeovervåking.

Disse midlene har systematisk blitt rutet gjennom kryptoblandingstjenester, som er utformet for å skjule kilden og destinasjonen til transaksjoner.

Denne utviklingen kaster nytt lys over hvordan hvitvaskingsmetoder utvikler seg, spesielt med fortsatt bruk av tjenester som tidligere har blitt godkjent eller hevdet å være nedlagte.

Etterforskningen peker også på koblinger til den nordkoreanske hackergruppen TraderTraitor, som utnyttet en sårbarhet i en utviklers bærbare datamaskin tidlig i februar.

Utnyttelsen ble muliggjort av skadelig programvare som utga seg for å være en aksjeinvesteringssimulator, og førte til kompromittering av sensitive legitimasjonsdetaljer.

Hvitvasking domineres av Wasabi Wallet og eXch

Bybits undersøkelse avslører at 247,5 millioner dollar (omtrent 966 BTC) ble sendt gjennom Wasabi Wallet, en personvernfokusert Bitcoin-lommebok som bruker CoinJoin til å blande transaksjoner.

Ytterligere 94,1 millioner dollar ble flyttet gjennom eXch, en mindre kjent miksingstjeneste som offentlig hadde annonsert nedleggelsen i april 2025.

Rettsmedisinske eksperter har imidlertid bekreftet at eXch forblir aktiv gjennom backend-API-er, slik at hvitvasking kan fortsette uoppdaget av de fleste standardmonitorer.

Blandingstjenester som Tornado Cash og Railgun ble også brukt, men i mindre grad.

TRM Labs bekreftet at Tornado Cash ble brukt til å hvitvaske 2,5 millioner dollar i Ethereum, mens Railgun tilrettela Ethereum-transaksjoner verdt 1,7 millioner dollar.

Disse tjenestene fungerer ved å samle flere brukeres midler og omfordele dem på en måte som gjør sporing nesten umulig.

Analytikere ved TRM Labs beskrev hvitvaskingsaktiviteten som «ekstremt vanskelig» å spore på grunn av måten transaksjoner samles og omfordeles på.

eXchs aktivitet vekker bekymring etter hevdet nedstengning

Spesielt eXch har fått betydelig oppmerksomhet på grunn av påstanden om å legge ned i april.

Kryptosikkerhetsforskere, inkludert analytikere hos TRM Labs, har bekreftet at tjenestens backend fortsatt er i drift.

Vedvarende infrastruktur i eXch, selv etter en offentlig kunngjøring om nedleggelsen, har gjort pågående etterforskninger enda mer komplekse.

En stor utfordring for etterforskerne er den fullstendige ugjennomsiktigheten som skapes av disse mikserne. Transaksjoner blir nesten umulige å følge når de først er på plass i disse tjenestene.

TRM Labs bemerket at fordi alle innkommende og utgående midler er blandet sammen, er det ikke mulig å identifisere individuelle brukere eller adresser bak overføringene.

Dette begrenser effektiviteten til verktøy for blokkjedetransparens, selv når rettsmedisinsk analyse brukes.

Nordkoreansk-tilknyttet TraderTraitor-gruppe skyldt for sikkerhetsbrudd

Saken kompliseres ytterligere av den påståtte involveringen av statsstøttede aktører.

Safe, en leverandør av krypto lommebok , publiserte detaljer i mars 2025 som indikerte at den nordkoreanske hackergruppen TraderTraitor sto bak det opprinnelige sikkerhetsbruddet.

Hackerne fikk tilgang til Bybit-midler etter å ha kompromittert en utviklers MacBook hos Safe.

Angrepet ble utført ved å legge inn skadelig programvare i en Docker-fil forkledd som en aksjeinvesteringssimulator.

Etter kjøring koblet skadevaren seg til et mistenkelig domene og installerte ondsinnede skript som hentet ut AWS-øktstokener.

Disse tokenene ble deretter brukt til å omgå flerfaktorautentisering og få tilgang til Bybits backend-systemer.

Innbruddet skjedde tidlig i februar og er blant de største kryptovalutatyveriene i 2025.

Det har utløst fornyet gransking fra regulatorer og ansporet debatter rundt sårbarheter i Web3-infrastrukturen, spesielt utviklernes endepunkter og skytilgangslegitimasjon.