Trotz des $1,4 Milliarden Krypto-Diebstahls im Februar, der angeblich von Nordkoreas Lazarus-Gruppe durchgeführt wurde, bleibt laut CEO Ben Zhou der Großteil der gestohlenen Gelder von der Bybit-Börse nachvollziehbar.
In einem ausführlichen Update am 21. April auf X enthüllte Zhou, dass 68,6 % der gestohlenen digitalen Vermögenswerte - fast 960 Millionen US-Dollar wert - noch immer durch Blockchain-Forensik verfolgt werden können. Ungefähr 27,6 % der Gelder sind verschwunden, während nur 3,8 % bislang erfolgreich eingefroren wurden.
Der Eindringen im Februar, das Bybits Cold-Wallet-Infrastruktur ausnutzte, wird als einer der größten Börsen-Hacks bis dato angesehen. Nach dem Diebstahl setzten die Angreifer eine komplexe Geldwäsche-Strategie ein, die Mixer, Bridges und dezentrale Plattformen umfasste, um die Herkunft der Gelder zu verschleiern.
Zhou wies darauf hin, dass Wasabi Wallet, ein auf Privatsphäre fokussierter Bitcoin-Mixer, das primäre Geldwäsche-Werkzeug der Hacker war. Kleinere Beträge wurden anschließend durch CryptoMixer, Tornado Cash und Railgun geleitet, die in der Krypto-Community für die Verbesserung der Anonymität bekannt sind.
Cross-Chain-Swaps und Bridges spielten ebenfalls eine wichtige Rolle. Mit Lazarus in Verbindung gebrachte Gelder wurden durch Plattformen wie THORChain, eXch, Lombard, LI.FI, Stargate und SunSwap geleitet, bevor sie in Peer-to-Peer (P2P) und Over-the-Counter (OTC) Märkte konvertiert und bewegt wurden - was die Wiederherstellung erschwerte.
Ein großer Teil des gestohlenen Ethers - 432.748 ETH, oder etwa $1,21 Milliarden - wurde über THORChain, ein dezentrales Cross-Chain-Liquiditätsprotokoll, von Ethereum zu Bitcoin verschoben. Etwa zwei Drittel dieses Ethers, etwa 960 Millionen Dollar, wurden in 10.003 BTC konvertiert, die auf 35.772 Bitcoin-Wallets verteilt sind, so Zhou.
Gleichzeitig verbleiben ca. 17 Millionen Dollar in ETH auf Ethereum über 12.490 Adressen verteilt, was den Ermittlern einige verbleibende Spuren auf der Kette bietet.
Um Blockchain-Detektive und White-Hat-Hacker zu motivieren, startete Bybit kurz nach dem Vorfall ein $140 Millionen Lazarus-Bounty-Programm. Bisher wurden 5.443 Berichte eingereicht, von denen jedoch nur 70 als gültig erwiesen wurden, berichtete Zhou.
Die Börse hat $2,3 Millionen an Bounties ausgezahlt, wobei ein erheblicher Teil an das Mantle Network ging, ein Ethereum Layer-2-Protokoll. Die Bemühungen von Mantle führten zur Sperrung von $42 Millionen kompromittierten Vermögenswerten.
"Wir fangen gerade erst an," sagte Zhou und ermutigte zu weiterer Teilnahme. "Wir brauchen mehr Kopfgeldjäger, besonders diejenigen, die Aktivität von Mixern entschlüsseln können. Dort liegt viel der Komplexität."
Die Auswirkungen des Bybit-Exploits sind bereits im gesamten Krypto-Ökosystem spürbar. Am 17. April kündigte die dezentrale Börse eXch an, sie werde bis zum 1. Mai schließen, nachdem Berichte sie in Verbindung mit der Geldwäsche eines Teils der gestohlenen Gelder gebracht hatten.
Während die Jagd weitergeht, unterstreicht der Vorfall sowohl die Raffinesse staatlich gesponserter Krypto-Kriminalität als auch die sich entwickelnde Rolle der privaten öffentlichen Zusammenarbeit in der Reaktion auf Cyberkriminalität. Bybits Fähigkeit, fast 1 Milliarde Dollar gestohlener Gelder nachvollziehen zu können, bietet einen Hoffnungsschimmer in einer zunehmend komplexen Bedrohungslandschaft.