Bybit hack-uppdatering: stulen kryptovaluta för nästan 650 miljoner dollar har försvunnit

En stor kryptostöld på 1,4 miljarder dollar stulen från börsen Bybit väcker nya varningsklockor i den digitala tillgångsbranschen.

Enligt data som sammanställts av börsen och säkerhetsforskare har cirka 644 miljoner dollar i stulna medel – nästan hälften av det totala beloppet – försvunnit från spårbar blockkedjeövervakning.

Dessa medel har systematiskt dirigerats genom kryptoblandningstjänster, vilka är utformade för att dölja källan och destinationen för transaktioner.

Denna utveckling kastar nytt ljus över hur penningtvättsmetoder utvecklas, särskilt med fortsatt användning av tjänster som tidigare har sanktionerats eller påståtts vara nedlagda.

Utredningen pekar också på kopplingar till den nordkoreanska hackergruppen TraderTraitor, som utnyttjade en sårbarhet i en utvecklares bärbara dator i början av februari.

Utnyttjandet möjliggjordes av skadlig kod som utgav sig för att vara en aktieinvesteringssimulator och ledde till att känsliga inloggningsuppgifter komprometterades.

Pengatvätt domineras av Wasabi Wallet och eXch

Bybits undersökning visar att 247,5 miljoner dollar (cirka 966 BTC) dirigerades via Wasabi Wallet, en integritetsfokuserad Bitcoin-plånbok som använder CoinJoin för att blanda transaktioner.

Ytterligare 94,1 miljoner dollar flyttades via eXch, en mindre känd mixningstjänst som offentligt hade meddelat sin stängning i april 2025.

Rättsmedicinska experter har dock bekräftat att eXch förblir aktivt via backend-API:er, vilket gör att tvättning kan fortsätta oupptäckt av de flesta standardmonitorer.

Blandningstjänster som Tornado Cash och Railgun användes också, men i mindre utsträckning.

TRM Labs bekräftade att Tornado Cash användes för att tvätta 2,5 miljoner dollar i Ethereum, medan Railgun underlättade Ethereum-transaktioner värda 1,7 miljoner dollar.

Dessa tjänster fungerar genom att samla flera användares medel och omfördela dem på ett sätt som gör spårning nästan omöjlig.

Analytiker på TRM Labs beskrev penningtvättsaktiviteten som "extremt svår" att spåra på grund av hur transaktioner paketeras och omdistribueras.

eXchs aktivitet väcker oro efter påstående om nedstängning

Särskilt eXch har fått stor uppmärksamhet på grund av sitt påstående om att de stängde ner i april.

Kryptosäkerhetsforskare, inklusive analytiker på TRM Labs, har bekräftat att tjänstens backend fortfarande fungerar.

Att eXchs infrastruktur fortfarande existerar, även efter ett offentligt tillkännagivande om dess stängning, har ökat komplexiteten i de pågående utredningarna.

En stor utmaning för utredare är den fullständiga ogenomskinlighet som skapas av dessa mixers. Transaktioner blir nästan omöjliga att följa när de väl går in i dessa tjänster.

TRM Labs noterade att eftersom alla inkommande och utgående medel blandas är det inte möjligt att identifiera enskilda användare eller adresser bakom överföringarna.

Detta begränsar effektiviteten hos verktyg för blockkedjetransparens, även när forensisk analys tillämpas.

Nordkoreanskkopplad TraderTraitor-grupp anklagas för intrång

Fallet kompliceras ytterligare av den påstådda inblandningen av statligt sponsrade aktörer.

Safe, en leverantör av kryptoplånbok , publicerade detaljer i mars 2025 som indikerade att den nordkoreanska hackergruppen TraderTraitor låg bakom det ursprungliga intrånget.

Hackarna fick tillgång till Bybit-medel efter att ha komprometterat en utvecklares MacBook på Safe.

Attacken utfördes genom att bädda in skadlig kod i en Docker-fil förklädd till en aktieinvesteringssimulator.

När den skadliga programvaran hade körts anslöt den sig till en misstänkt domän och installerade skadliga skript som extraherade AWS-sessionstokens.

Dessa tokens användes sedan för att kringgå flerfaktorsautentisering och få åtkomst till Bybits backend-system.

Intrånget inträffade i början av februari och är bland de största kryptovalutastölderna under 2025.

Det har utlöst förnyad granskning från tillsynsmyndigheter och sporrat till debatter kring sårbarheter i Web3-infrastrukturen, särskilt utvecklarnas slutpunkter och molnåtkomstuppgifter.