Nonostante il furto di criptovalute da $1.4 miliardi di febbraio orchestrato dal gruppo Lazarus della Corea del Nord, la maggioranza dei fondi rubati dallo scambio Bybit rimane tracciabile, secondo il CEO Ben Zhou.
In un aggiornamento dettagliato pubblicato il 21 aprile su X, Zhou ha rivelato che il 68,6% degli asset digitali rubati - del valore di quasi 960 milioni di dollari - può ancora essere seguito attraverso la forensica della blockchain. Circa il 27,6% dei fondi è andato perso, mentre solo il 3,8% è stato congelato con successo finora.
La violazione di febbraio, che ha sfruttato l'infrastruttura del portafoglio freddo di Bybit, è considerata uno degli hack più grandi delle borse fino ad oggi. Dopo il furto, gli aggressori hanno impiegato una strategia complessa di riciclaggio coinvolgendo mixer, ponti e piattaforme decentralizzate per oscurare le origini dei fondi.
Zhou ha sottolineato che Wasabi Wallet, un mixer Bitcoin incentrato sulla privacy, è stato il principale strumento di riciclaggio usato dagli hacker. Importi minori sono stati successivamente incanalati attraverso CryptoMixer, Tornado Cash e Railgun, tutti noti nella comunità crypto per migliorare l'anonimato.
Anche gli scambi cross-chain e i servizi di ponte hanno svolto un ruolo fondamentale. I fondi legati a Lazarus sono stati instradati attraverso piattaforme come THORChain, eXch, Lombard, LI.FI, Stargate e SunSwap prima di essere convertiti e spostati nei mercati peer-to-peer (P2P) e over-the-counter (OTC), rendendo il recupero più impegnativo.
Una grande porzione di Ether rubato - 432.748 ETH, o circa 1,21 miliardi di dollari - è stata trasferita da Ethereum a Bitcoin tramite THORChain, un protocollo di liquidità cross-chain decentralizzato. Circa due terzi di quell'Ether, circa 960 milioni di dollari, è stato convertito in 10.003 BTC distribuiti tra 35.772 portafogli Bitcoin, ha confermato Zhou.
Nel frattempo, circa 17 milioni di dollari in ETH rimangono su Ethereum su 12.490 indirizzi, offrendo agli investigatori alcune piste rimanenti sulla catena.
Per incentivare gli esperti di blockchain e gli hacker white-hat, Bybit ha lanciato un programma di ricompense Lazarus da 140 milioni di dollari poco dopo l'incidente. Finora sono stati presentati 5.443 rapporti, ma solo 70 si sono rivelati validi, ha riferito Zhou.
La borsa ha pagato 2,3 milioni di dollari in ricompense, con una parte significativa assegnata a Mantle Network, un protocollo layer-2 di Ethereum. Gli sforzi di Mantle hanno portato al congelamento di 42 milioni di dollari in asset compromessi.
"Abbiamo appena iniziato", ha detto Zhou, incoraggiando ulteriori partecipazioni. "Abbiamo bisogno di più cacciatori di taglie, specialmente quelli che possono aiutare a decodificare l'attività dei mixer. È lì che risiede gran parte della complessità."
Gli effetti a catena dell'exploit di Bybit si stanno già facendo sentire in tutto l'ecosistema crypto. Il 17 aprile, l'exchange decentralizzato eXch ha annunciato che avrebbe chiuso entro il 1 maggio a seguito di rapporti che lo implicavano nel riciclaggio di una parte dei fondi rubati.
Mentre la caccia continua, l'incidente sottolinea sia la sofisticazione del crimine crypto sponsorizzato dallo stato sia il ruolo in evoluzione della collaborazione pubblico-privata nella risposta ai crimini informatici. La capacità di Bybit di tracciare quasi 1 miliardo di dollari in fondi rubati offre un barlume di speranza in un paesaggio di minacce sempre più complesso.