Ondanks het recordbrekende $1,4 miljard crypto-overval in februari, die naar verluidt werd georganiseerd door de Lazarus Group van Noord-Korea, blijft de meerderheid van de gestolen fondsen van de Bybit-beurs traceerbaar, aldus CEO Ben Zhou.
In een gedetailleerde update geplaatst op 21 april op X, onthulde Zhou dat 68,6% van de gestolen digitale activa - ter waarde van bijna $960 miljoen - nog steeds te volgen zijn via blockchain forensisch onderzoek. Ongeveer 27,6% van de fondsen is verdwenen, terwijl slechts 3,8% tot nu toe succesvol is bevroren.
Het februari-inbreuk, dat gebruikmaakte van Bybits cold wallet-infrastructuur, wordt beschouwd als een van de grootste beurshacks tot nu toe. Na de diefstal gebruikten de aanvallers een complexe witwasstrategie met mixers, bruggen en gedecentraliseerde platforms om de oorsprong van de fondsen te verdoezelen.
Zhou wees erop dat Wasabi Wallet, een privacygerichte Bitcoin-mixer, het belangrijkste witwastool was dat door de hackers werd gebruikt. Kleinere bedragen werden vervolgens doorgevoerd via CryptoMixer, Tornado Cash en Railgun, die allemaal bekend zijn in de crypto-gemeenschap voor het verbeteren van anonimiteit.
Cross-chain swaps en bruggendiensten speelden ook een cruciale rol. Door Lazarus gekoppelde fondsen werden gerouteerd via platforms zoals THORChain, eXch, Lombard, LI.FI, Stargate en SunSwap voordat ze werden geconverteerd en verplaatst naar peer-to-peer (P2P) en over-the-counter (OTC) markten - waardoor herstel uitdagender werd.
Een groot deel van de gestolen Ether - 432.748 ETH, of ongeveer $1,21 miljard - werd verplaatst van Ethereum naar Bitcoin via THORChain, een gedecentraliseerd cross-chain liquiditeitsprotocol. Ongeveer tweederde van die Ether, ongeveer $960 miljoen, is omgezet in 10.003 BTC, verspreid over 35.772 Bitcoin-wallets, bevestigde Zhou.
Ondertussen blijft er ongeveer $17 miljoen in ETH op Ethereum op 12.490 adressen, wat onderzoekers nog enkele leads op de keten biedt.
Om blockchain-detectives en white-hat hackers te stimuleren, lanceerde Bybit kort na het incident een Lazarus Bounty Program van $140 miljoen. Tot nu toe zijn er 5.443 rapporten ingediend, maar slechts 70 bleken geldig te zijn, aldus Zhou.
De beurs heeft $2,3 miljoen aan premies uitbetaald, met een aanzienlijk deel toegekend aan Mantle Network, een Ethereum layer-2-protocol. De inspanningen van Mantle leidden tot het bevriezen van $42 miljoen aan gecompromitteerde activa.
"We zijn nog maar net begonnen," zei Zhou, terwijl hij aanmoedigde tot verdere deelname. "We hebben meer premiejagers nodig, vooral degenen die kunnen helpen bij het ontcijferen van mixer-activiteiten. Daar ligt veel van de complexiteit."
De verstrekte gevolgen van de Bybit-exploit worden al gevoeld in het crypto-ecosysteem. Op 17 april kondigde de gedecentraliseerde beurs eXch aan dat het op 1 mei zou sluiten na berichten dat het betrokken was bij het witwassen van een deel van de gehackte fondsen.
Terwijl de zoektocht doorgaat, onderstreept het incident zowel de geavanceerdheid van door de staat gesponsorde cryptocriminaliteit als de evoluerende rol van publiek-private samenwerking in de reactie op cybercriminaliteit. Bybits vermogen om bijna $1 miljard aan gestolen fondsen te traceren, biedt een sprankje hoop in een steeds complexer dreigingslandschap.