Aktualizacja dotycząca włamania do Bybit: prawie 650 milionów dolarów skradzionych kryptowalut zniknęło.

Wielka kradzież kryptowalut, w wyniku której z giełdy Bybit skradziono 1,4 miliarda dolarów, wywołuje nowe obawy w branży aktywów cyfrowych.

Według danych zebranych przez giełdę i badaczy ds. bezpieczeństwa, około 644 milionów dolarów skradzionych środków – prawie połowa całości – zniknęła z monitorowanych łańcuchów bloków.

Pieniądze te były systematycznie przekazywane za pośrednictwem usług mieszania kryptowalut, które mają na celu ukrycie źródła i celu transakcji.

Ten rozwój sytuacji rzuca nowe światło na to, jak ewoluują metody prania pieniędzy, zwłaszcza w kontekście kontynuowanego wykorzystywania usług, które wcześniej zostały uznane za nielegalne lub uznane za nieczynne.

Śledztwo wskazuje również na powiązania z północnokoreańską grupą hakerską TraderTraitor, która na początku lutego wykorzystała lukę w zabezpieczeniach laptopa jednego z programistów.

Wykorzystanie luki w zabezpieczeniach umożliwiło złośliwe oprogramowanie, które podszywało się pod symulator inwestycji giełdowych, co doprowadziło do ujawnienia poufnych danych uwierzytelniających.

Pranie pieniędzy jest dominowane przez Wasabi Wallet i eXch.

Dochodzenie przeprowadzone przez Bybit wykazało, że 247,5 miliona dolarów (około 966 BTC) przepłynęło przez Wasabi Wallet, portfel Bitcoin skoncentrowany na prywatności, który wykorzystuje CoinJoin do mieszania transakcji.

Kolejne 94,1 miliona dolarów przelano za pośrednictwem eXch, mniej znanego serwisu do mieszania kryptowalut, który ogłosił publicznie zamknięcie swojej działalności w kwietniu 2025 roku.

Jednak eksperci ds. informatyki sądowej potwierdzili, że eXch pozostaje aktywny za pośrednictwem interfejsów API, co pozwala na kontynuowanie prania pieniędzy niezauważalnie przez większość standardowych systemów monitorowania.

Korzystano również z usług mieszania walut, takich jak Tornado Cash i Railgun, ale w mniejszym stopniu.

Firma TRM Labs potwierdziła, że Tornado Cash został wykorzystany do prania 2,5 miliona dolarów w Ethereum, podczas gdy Railgun ułatwił transakcje w Ethereum na kwotę 1,7 miliona dolarów.

Usługi te działają poprzez łączenie środków wielu użytkowników i ich ponowne rozdzielanie w sposób, który uniemożliwia ich śledzenie.

Analitycy z TRM Labs opisali tę działalność związaną z praniem pieniędzy jako „wyjątkowo trudną” do śledzenia ze względu na sposób, w jaki transakcje są grupowane i przekazywane dalej.

Działalność eXch budzi obawy po ogłoszeniu o zamknięciu.

W szczególności eXch przyciągnął znaczną uwagę ze względu na zapowiedź zamknięcia w kwietniu.

Badacze bezpieczeństwa kryptowalut, w tym analitycy z TRM Labs, potwierdzili, że zaplecze serwisu nadal działa.

Trwanie infrastruktury eXch, nawet po publicznym ogłoszeniu o jej zamknięciu, dodało dodatkowy wymiar złożoności trwającym śledztwom.

Głównym wyzwaniem dla śledczych jest całkowita nieprzezroczystość, jaką tworzą te mieszalniki. Transakcje stają się niemal niemożliwe do śledzenia, gdy trafią do tych usług.

TRM Labs zauważyło, że ponieważ wszystkie wpływy i wypłaty są mieszane, nie jest możliwe identyfikowanie poszczególnych użytkowników lub adresów, za którymi kryją się te transakcje.

To ogranicza skuteczność narzędzi do analizy przejrzystości blockchain, nawet gdy stosuje się analizę śledczą.

Za naruszenie bezpieczeństwa odpowiedzialna jest grupa TraderTraitor powiązana z Koreą Północną.

Sprawę dodatkowo komplikuje domniemane zaangażowanie podmiotów działających pod auspicjami państwa.

Safe, dostawca interfejsu dla portfel do kryptowalut , opublikował w marcu 2025 roku szczegóły wskazujące, że za pierwotnym naruszeniem bezpieczeństwa stała północnokoreańska grupa hakerska TraderTraitor.

Hakerzy uzyskali dostęp do środków Bybit po przejęciu kontroli nad komputerem MacBook należącym do programisty w firmie Safe.

Atak przeprowadzono poprzez wbudowanie złośliwego oprogramowania w plik Docker, który został zamaskowany jako symulator inwestycji giełdowych.

Po uruchomieniu złośliwe oprogramowanie połączyło się z podejrzaną domeną i zainstalowało złośliwe skrypty, które pobierały tokeny sesji AWS.

Następnie te tokeny zostały wykorzystane do obejścia uwierzytelniania wieloskładnikowego i uzyskania dostępu do systemów zaplecza Bybit.

Do naruszenia bezpieczeństwa doszło na początku lutego i jest to jeden z największych kradzieży kryptowalut w 2025 roku.

To wywołało wzmożoną kontrolę ze strony organów regulacyjnych i podsyciło dyskusje na temat luk w zabezpieczeniach infrastruktury Web3, zwłaszcza punktów końcowych dla programistów i danych uwierzytelniających dostęp do chmury.