Vad händer härnäst för de 1,4 miljarder dollar som stulits i Bybit-hacket?

Den framstående kryptobörs Bybit hackades för över 1,4 miljarder dollar i vad som utses som det största rånet i branschens historia, och experter föreslår att de stulna medlen sannolikt kommer att tvättas genom blandare och tvärkedjebryggor.

Enligt en färsk rapport från Web3-säkerhetsföretaget Elliptic kan Nordkoreas ökända Lazarus Group, som man tror är ansvarig för attacken, följa sitt vanliga tvättmönster.

För närvarande befinner sig Bybit-hackare i vad rapporten kallade “skiktningsfasen”, det andra steget av deras tvättprocess.

I det här skedet försöker Lazarus Group dölja fondernas ursprung genom att sprida dem över flera plånböcker, använda tvärkedjebryggor för att flytta tillgångar mellan blockkedjor och byta ut tokens på decentraliserade plattformar för att komplicera spårningsinsatser.

Detta föregicks av den första konverteringen av stulna tokens till ETH, ett typiskt första steg i deras tvättstrategi.

“Detta beror på att tokens har emittenter som i vissa fall kan “frysa” plånböcker som innehåller stulna tillgångar, medan det inte finns någon central part som kan frysa Ether eller Bitcoin,” förklarade rapporten.

Därefter, inom bara två timmar efter attacken, delades de stulna medlen upp på 50 olika plånböcker, var och en rymmer cirka 10 000 ETH.

Elliptic noterade att angriparna sedan dess har börjat systematiskt tömma dessa plånböcker, med mer än 10% av de stulna medlen redan i rörelse.

Nästa troliga steg, tror experter, kommer att involvera att skicka delar av medlen genom kryptomixer som Tornado Cash.

Lazarus Group är välkänt för att använda Tornado Cash, och plattformen har tidigare mött hård kritik för att underlätta Nordkoreas kryptotvättsaktiviteter.

Elliptic anklagade också kryptobörs eXch för att spela en betydande roll i tvättprocessen och tillade att angripare använde den för att konvertera den stulna Ether till Bitcoin.

eXch har “uppstått som en stor och villig facilitator av denna tvättinsats”, heter det i rapporten och tillade att plattformen till och med vägrade att blockera dessa transaktioner trots direkta förfrågningar från ByBit.

Börsen har förnekat dessa anklagelser i en uppdatering efter incidenten.

Trots dessa ansträngningar tror experter på Elliptic att det inte kommer att vara lätt för hackarna att tvätta en sådan enorm summa.

Den stora mängden stulna tillgångar ökar risken för upptäckt, eftersom stora transaktioner är mer benägna att utlösa varningar på börser och blockchain-övervakningssystem.

ByBit Hacket på 1,4 miljarder dollar

Den 21 februari utnyttjade angriparna ByBits Ethereum multisig kalla plånbok under en rutinöverföring till börsens varma plånbok.

Angriparna manipulerade signeringsgränssnittet, vilket gjorde att det visade rätt plånboksadress samtidigt som de ändrade den underliggande smarta kontraktslogiken.

Över 1,4 miljarder dollar värda olika tillgångar, såsom Mantle Staked ETH (mETH) och andra ERC-20-tokens, togs bort från börsen.

Oberoende kryptospekare ZachXBT avslöjade direkta länkar i kedjan mellan Bybit-hacket och det senaste intrånget i Phemex-utbytet, som båda misstänks vara Lazarus Groups arbete.

Samma initiala stöldadress användes för båda incidenterna,

ByBit har dock klargjort att alla användare som berörs av intrånget skulle göras hela och har lanserat ett bonusprogram på 140 miljoner dollar för cybersäkerhetsexperter och blockkedjeanalytiker som hjälper till att spåra och hämta stulna tillgångar.