Nonostante il colpo da record di $1,4 miliardi di criptovalute di febbraio presumibilmente orchestrato dal gruppo Lazarus della Corea del Nord, la maggioranza dei fondi rubati dall'exchange Bybit rimane rintracciabile, secondo il CEO Ben Zhou.
In un aggiornamento dettagliato pubblicato il 21 aprile su X, Zhou ha rivelato che il 68,6% degli asset digitali rubati, del valore di quasi $960 milioni, può ancora essere seguito attraverso l'analisi forense della blockchain. Circa il 27,6% dei fondi è scomparso, mentre solo il 3,8% è stato finora congelato con successo.
L'incidente di febbraio, che ha sfruttato l'infrastruttura del portafoglio freddo di Bybit, è considerato uno dei più grandi attacchi a exchange fino ad oggi. Dopo il furto, gli aggressori hanno impiegato una strategia di riciclaggio complessa che coinvolgeva mixer, ponti e piattaforme decentralizzate per oscurare le origini dei fondi.
Zhou ha sottolineato che Wasabi Wallet, un mixer Bitcoin focalizzato sulla privacy, è stato lo strumento principale di riciclaggio utilizzato dagli hacker. Importi più piccoli sono stati successivamente canalizzati attraverso CryptoMixer, Tornado Cash e Railgun, tutti ben noti nella comunità cripto per migliorare l'anonimato.
Anche gli scambi cross-chain e i servizi di bridging hanno svolto un ruolo fondamentale. Fondi collegati a Lazarus sono stati instradati attraverso piattaforme come THORChain, eXch, Lombard, LI.FI, Stargate e SunSwap prima di essere convertiti e spostati nei mercati peer-to-peer (P2P) e over-the-counter (OTC), rendendo più difficile il recupero.
Una parte importante dell'Ether rubato, 432.748 ETH, circa $1,21 miliardi, è stata trasferita da Ethereum a Bitcoin tramite THORChain, un protocollo di liquidità cross-chain decentralizzata. Circa due terzi di quel Ether, circa $960 milioni, sono stati convertiti in 10.003 BTC distribuiti su 35.772 portafogli Bitcoin, come confermato da Zhou.
Nel frattempo, circa $17 milioni in ETH rimangono su Ethereum in 12.490 indirizzi, offrendo agli investigatori alcune piste residue sulla catena.
Per incentivare i detective della blockchain e gli hacker etici, Bybit ha lanciato un Programma Bounty Lazarus da $140 milioni poco dopo l'incidente. Finora, sono stati presentati 5.443 rapporti, ma solo 70 si sono rivelati validi, ha riferito Zhou.
L'exchange ha pagato $2,3 milioni in ricompense, con una parte significativa assegnata a Mantle Network, un protocollo layer-2 su Ethereum. Gli sforzi di Mantle hanno portato al congelamento di $42 milioni in asset compromessi.
"Abbiamo appena iniziato", ha detto Zhou, incoraggiando una maggiore partecipazione. "Abbiamo bisogno di più cacciatori di taglie, soprattutto quelli che possono aiutare a decifrare l'attività dei mixer. È lì che risiede molta della complessità."
Gli effetti a catena dell'incidente Bybit si stanno già facendo sentire in tutto l'ecosistema cripto. Il 17 aprile, l'exchange decentralizzato eXch ha annunciato che si chiuderà entro il 1° maggio in seguito a rapporti che lo implicano nel riciclaggio di parte dei fondi rubati.
Mentre la caccia continua, l'incidente sottolinea sia la sofisticazione dei crimini cripto sponsorizzati dallo stato, sia il ruolo evolutivo della collaborazione pubblico-privato nella risposta al crimine informatico. La capacità di Bybit di rintracciare quasi $1 miliardo in fondi rubati offre un barlume di speranza in un panorama di minacce sempre più complesso.