Actualizare privind atacul cibernetic Bybit: aproape 650 de milioane de dolari în criptomonede furate au dispărut

Un furt major de criptomonede, în valoare de 1,4 miliarde de dolari, furat de la platforma de schimb Bybit, trage noi semnale de alarmă în industria activelor digitale.

Conform datelor compilate de cercetătorii din domeniul bursei și al securității, aproximativ 644 de milioane de dolari în fonduri furate - aproape jumătate din total - au dispărut din monitorizarea blockchain trasabilă.

Aceste fonduri au fost direcționate sistematic prin servicii de mixare a criptomonedelor, care sunt concepute pentru a ascunde sursa și destinația tranzacțiilor.

Această evoluție aruncă o nouă lumină asupra modului în care evoluează metodele de spălare a banilor, în special odată cu utilizarea continuă a serviciilor care au fost anterior sancționate sau se pretindea că nu funcționează.

Ancheta indică, de asemenea, legături cu grupul de hacking nord-coreean TraderTraitor, care a exploatat o vulnerabilitate a laptopului unui dezvoltator la începutul lunii februarie.

Exploatarea a fost activată de un malware care se prefăcea a fi un simulator de investiții bursiere și a dus la compromiterea unor date de autentificare sensibile.

Spălarea este dominată de Wasabi Wallet și eXch

Investigația Bybit dezvăluie că 247,5 milioane de dolari (aproximativ 966 BTC) au fost direcționați prin Wasabi Wallet, un portofel Bitcoin axat pe confidențialitate care folosește CoinJoin pentru a combina tranzacții.

Alte 94,1 milioane de dolari au fost transferate prin eXch, un serviciu de mixaj mai puțin cunoscut care își anunțase public închiderea în aprilie 2025.

Cu toate acestea, experții criminalistici au confirmat că eXch rămâne activ prin intermediul API-urilor back-end, permițând spălarea de date să continue nedetectată de majoritatea monitoarelor standard.

Au fost folosite și servicii de mixare precum Tornado Cash și Railgun, dar într-o măsură mai mică.

TRM Labs a confirmat că Tornado Cash a fost folosit pentru spălarea a 2,5 milioane de dolari în Ethereum, în timp ce Railgun a facilitat tranzacții Ethereum în valoare de 1,7 milioane de dolari.

Aceste servicii funcționează prin punerea în comun a fondurilor mai multor utilizatori și redistribuirea lor într-un mod care face aproape imposibilă urmărirea.

Analiștii de la TRM Labs au descris activitatea de spălare a banilor ca fiind „extrem de dificil” de urmărit din cauza modului în care tranzacțiile sunt grupate și redistribuite.

Activitatea eXch stârnește îngrijorare după ce a anunțat închiderea companiei.

eXch, în special, a atras o atenție semnificativă datorită afirmației sale că s-a închis în aprilie.

Cercetătorii în securitate cripto, inclusiv analiști de la TRM Labs, au confirmat că backend-ul serviciului este încă funcțional.

Persistența infrastructurii eXch, chiar și după anunțul public al închiderii sale, a adăugat un nivel de complexitate investigațiilor în curs.

O provocare majoră pentru anchetatori este opacitatea completă creată de aceste dispozitive de mixare. Tranzacțiile devin aproape imposibil de urmărit odată ce intră în aceste servicii.

TRM Labs a menționat că, deoarece toate fondurile primite și cele trimise sunt amestecate, nu este posibilă identificarea utilizatorilor individuali sau a adreselor din spatele transferurilor.

Acest lucru limitează eficacitatea instrumentelor de transparență blockchain, chiar și atunci când se aplică analiza criminalistică.

Grupul TraderTraitor, legat de Coreea de Nord, este acuzat de încălcarea legii

Cazul este și mai complicat de presupusa implicare a unor actori sponsorizați de stat.

Safe, un furnizor de interfețe pentru portofele cripto, a publicat în martie 2025 detalii care indicau că grupul de hacking nord-coreean TraderTraitor se afla în spatele breșei inițiale.

Hackerii au obținut acces la fondurile Bybit după ce au compromis MacBook-ul unui dezvoltator la Safe.

Atacul a fost efectuat prin încorporarea de programe malware într-un fișier Docker deghizat în simulator de investiții bursiere.

Odată executat, malware-ul s-a conectat la un domeniu suspect și a instalat scripturi malițioase care extrageau token-uri de sesiune AWS.

Aceste token-uri au fost apoi folosite pentru a ocoli autentificarea multi-factor și a accesa sistemele backend ale Bybit.

Spargerea a avut loc la începutul lunii februarie și se numără printre cele mai mari furturi de criptomonede din 2025.

Aceasta a declanșat o nouă analiză din partea autorităților de reglementare și a stimulat dezbateri cu privire la vulnerabilitățile infrastructurii Web3, în special ale endpoint-urilor dezvoltatorilor și ale acreditărilor de acces la cloud.