Apesar do roubo recorde de $1,4 bilhão em cripto em fevereiro, supostamente orquestrado pelo Grupo Lazarus da Coreia do Norte, a maioria dos fundos roubados da exchange Bybit ainda podem ser rastreados, segundo o CEO Ben Zhou.
Em uma atualização detalhada postada em 21 de abril no X, Zhou revelou que 68,6% dos ativos digitais roubados - no valor de quase $960 milhões - ainda podem ser seguidos através da forense de blockchain. Aproximadamente 27,6% dos fundos se tornaram invisíveis, enquanto apenas 3,8% foram congelados com sucesso até agora.
A violação de fevereiro, que explorou a infraestrutura de carteira fria da Bybit, é considerada um dos maiores hacks de exchange até hoje. Após o roubo, os atacantes empregaram uma estratégia complexa de lavagem envolvendo mixers, bridges e plataformas descentralizadas para obscurecer as origens dos fundos.
Zhou apontou que a Wasabi Wallet, um mixer de Bitcoin focado em privacidade, foi a principal ferramenta de lavagem usada pelos hackers. Quantias menores foram subsequentemente canalizadas através do CryptoMixer, Tornado Cash e Railgun, todos bem conhecidos na comunidade cripto por aumentar o anonimato.
Trocas cross-chain e serviços de bridge também desempenharam um papel crucial. Fundos ligados ao Lazarus foram roteados por plataformas como THORChain, eXch, Lombard, LI.FI, Stargate e SunSwap antes de serem convertidos e movidos para mercados peer-to-peer (P2P) e de balcão (OTC) - tornando a recuperação mais desafiadora.
Uma parte importante do Ether roubado - 432.748 ETH, ou cerca de $1,21 bilhão - foi movida do Ethereum para o Bitcoin através da THORChain, um protocolo de liquidez cross-chain descentralizado. Cerca de dois terços desse Ether, aproximadamente $960 milhões, foram convertidos em 10.003 BTC distribuídos em 35.772 carteiras de Bitcoin, Zhou confirmou.
Enquanto isso, cerca de $17 milhões em ETH permanecem no Ethereum em 12.490 endereços, oferecendo aos investigadores algumas pistas restantes na cadeia.
Para incentivar investigadores de blockchain e hackers white-hat, a Bybit lançou um Programa de Recompensa Lazarus de $140 milhões pouco após o incidente. Até agora, 5.443 relatórios foram submetidos, mas apenas 70 se mostraram válidos, relatou Zhou.
A exchange pagou $2,3 milhões em recompensas, com uma parte significativa destinada à Mantle Network, um protocolo de camada 2 do Ethereum. Os esforços da Mantle resultaram no congelamento de $42 milhões em ativos comprometidos.
"Estamos apenas começando", disse Zhou, encorajando maior participação. "Precisamos de mais caçadores de recompensas, especialmente aqueles que podem ajudar a decodificar a atividade de mixers. É aí que reside grande parte da complexidade."
Os efeitos do hack da Bybit já estão sendo sentidos em todo o ecossistema cripto. Em 17 de abril, a exchange descentralizada eXch anunciou que encerraria suas atividades até 1º de maio, após relatos que a implicavam no branqueamento de parte dos fundos hackeados.
Enquanto a caçada continua, o incidente destaca tanto a sofisticação do crime cripto patrocinado por estados quanto o papel em evolução da colaboração público-privada na resposta ao cibercrime. A capacidade da Bybit de rastrear quase $1 bilhão em fundos roubados oferece um vislumbre de esperança em um cenário de ameaças cada vez mais complexo.