Bybit hack güncellemesi: Çalınan kripto paranın yaklaşık 650 milyon doları ortadan kayboldu

Bybit borsasından çalınan 1,4 milyar dolarlık büyük kripto para hırsızlığı, dijital varlık sektöründe yeni alarm zillerinin çalmasına neden oldu.

Borsa ve güvenlik araştırmacıları tarafından derlenen verilere göre, çalınan fonların yaklaşık 644 milyon doları, yani toplamın neredeyse yarısı, izlenebilir blockchain izleme sisteminden kayboldu.

Bu fonlar, işlemlerin kaynağını ve hedefini gizlemek için tasarlanmış kripto karıştırma hizmetleri aracılığıyla sistematik olarak yönlendirildi.

Bu gelişme, özellikle daha önce yaptırıma tabi tutulan veya artık işlemediği iddia edilen hizmetlerin kullanılmaya devam edilmesiyle birlikte, kara para aklama yöntemlerinin nasıl evrildiği konusunda yeni bir ışık tutuyor.

Soruşturmada ayrıca, Şubat ayı başlarında bir geliştiricinin dizüstü bilgisayarındaki bir güvenlik açığından yararlanan Kuzey Koreli bilgisayar korsanı grubu TraderTraitor ile bağlantılar da tespit edildi.

Bu istismar, kendisini borsa yatırım simülatörü olarak tanıtan kötü amaçlı yazılım tarafından gerçekleştirildi ve hassas kimlik bilgilerinin ele geçirilmesine yol açtı.

Kara para aklamada Wasabi Wallet ve eXch başı çekiyor

Bybit'in araştırması, 247,5 milyon doların (yaklaşık 966 BTC) işlemleri karıştırmak için CoinJoin kullanan gizliliğe odaklı bir Bitcoin cüzdanı olan Wasabi Wallet üzerinden yönlendirildiğini ortaya koydu.

94,1 milyon dolar daha, Nisan 2025'te kapanacağını kamuoyuna duyuran daha az bilinen bir miksaj hizmeti olan eXch üzerinden taşındı.

Ancak adli tıp uzmanları, eXch'in arka uç API'leri aracılığıyla aktif olmaya devam ettiğini ve bu sayede kara para aklamanın çoğu standart izleme cihazı tarafından tespit edilemediğini doğruladı.

Tornado Cash ve Railgun gibi karıştırma hizmetleri de daha az ölçüde kullanıldı.

TRM Labs, Tornado Cash'in 2,5 milyon dolar değerinde Ethereum aklamak için kullanıldığını, Railgun'ın ise 1,7 milyon dolar değerinde Ethereum işlemine aracılık ettiğini doğruladı.

Bu hizmetler, birden fazla kullanıcının fonlarının bir araya getirilerek, bunların izlenmesini neredeyse imkânsız kılacak şekilde yeniden dağıtılması yoluyla çalışır.

TRM Labs analistleri, işlemlerin bir araya getirilme ve yeniden dağıtılma şekli nedeniyle kara para aklama faaliyetinin izlenmesinin "son derece zor" olduğunu belirtti.

eXch'nin faaliyeti, kapatıldığını iddia etmesinin ardından endişeye yol açtı

Özellikle eXch, nisan ayında kapanacağı iddiasıyla büyük ilgi gördü.

TRM Labs analistleri de dahil olmak üzere kripto güvenlik araştırmacıları, hizmetin arka ucunun hala çalıştığını doğruladı.

eXch'nin altyapısının, kamuoyuna kapatıldığı duyurulduktan sonra bile varlığını sürdürmesi, devam eden soruşturmalara bir katman daha karmaşıklık ekledi.

Araştırmacılar için en büyük zorluk, bu karıştırıcıların yarattığı tam bir opaklıktır. İşlemler bu hizmetlere girdikten sonra takip edilmesi neredeyse imkansız hale gelir.

TRM Labs, gelen ve giden tüm fonların birbirine karışmış olması nedeniyle transferlerin arkasındaki bireysel kullanıcıları veya adresleri tespit etmenin mümkün olmadığını belirtti.

Bu durum, adli analiz uygulandığında bile blok zinciri şeffaflık araçlarının etkinliğini sınırlamaktadır.

Kuzey Kore bağlantılı TraderTraitor grubu ihlalden sorumlu tutuldu

Davayı daha da karmaşık hale getiren şey ise devlet destekli aktörlerin de olaya karıştığı iddiası.

Kripto cüzdan arayüzü sağlayıcısı Safe, Mart 2025'te Kuzey Koreli bilgisayar korsanı grubu TraderTraitor'un orijinal ihlalin arkasında olduğunu belirten ayrıntıları yayınladı.

Bilgisayar korsanları, Safe'te bir geliştiricinin MacBook'unu ele geçirerek Bybit fonlarına erişim sağladı.

Saldırı, borsa yatırım simülatörü görünümündeki bir Docker dosyasının içine kötü amaçlı yazılım yerleştirilerek gerçekleştirildi.

Kötü amaçlı yazılım çalıştırıldığında şüpheli bir etki alanına bağlandı ve AWS oturum belirteçlerini çıkaran kötü amaçlı komut dosyaları yükledi.

Bu token'lar daha sonra çok faktörlü kimlik doğrulamayı atlatmak ve Bybit'in arka uç sistemlerine erişmek için kullanıldı.

İhlal, Şubat ayının başlarında gerçekleşti ve 2025'in en büyük kripto para hırsızlıkları arasında yer alıyor.

Düzenleyicilerin yeniden incelemesine yol açtı ve özellikle geliştirici uç noktaları ve bulut erişim kimlik bilgileri olmak üzere Web3 altyapısındaki güvenlik açıkları etrafında tartışmaları alevlendirdi.