Apesar do roubo recorde de $1,4 bilhão em criptomoedas de fevereiro alegadamente orquestrado pelo Grupo Lazarus da Coreia do Norte, a maioria dos fundos roubados da exchange Bybit permanece rastreável, de acordo com o CEO Ben Zhou.
Em uma atualização detalhada postada em 21 de abril no X, Zhou revelou que 68,6% dos ativos digitais roubados - valendo quase $960 milhões - ainda podem ser seguidos através de forense de blockchain. Aproximadamente 27,6% dos fundos se tornaram irreversíveis, enquanto apenas 3,8% foram congelados com sucesso até agora.
A violação de fevereiro, que explorou a infraestrutura da carteira fria da Bybit, é considerada um dos maiores hacks de exchange até hoje. Após o roubo, os invasores empregaram uma estratégia complexa de lavagem usando mixers, pontes e plataformas descentralizadas para ocultar as origens dos fundos.
Zhou destacou que a Wasabi Wallet, um mixer de Bitcoin focado em privacidade, foi a principal ferramenta de lavagem usada pelos hackers. Quantias menores foram subsequentemente canalizadas por CryptoMixer, Tornado Cash e Railgun, todos bem conhecidos na comunidade cripto por aumentar o anonimato.
As trocas entre cadeias e serviços de ponte também desempenharam um papel crucial. Fundos ligados a Lazarus foram roteados por plataformas como THORChain, eXch, Lombard, LI.FI, Stargate e SunSwap antes de serem convertidos e movidos para mercados peer-to-peer (P2P) e de balcão (OTC) - tornando a recuperação mais desafiadora.
Uma grande parte do Ether roubado - 432.748 ETH, ou cerca de $1,21 bilhão - foi movida do Ethereum para Bitcoin através do THORChain, um protocolo descentralizado de liquidez entre cadeias. Cerca de dois terços desse Ether, aproximadamente $960 milhões, foram convertidos em 10.003 BTC distribuídos por 35.772 carteiras de Bitcoin, confirmou Zhou.
Enquanto isso, cerca de $17 milhões em ETH permanecem no Ethereum em 12.490 endereços, oferecendo aos investigadores algumas pistas restantes na cadeia.
Para incentivar investigadores de blockchain e hackers de chapéu branco, a Bybit lançou um Programa de Recompensas Lazarus de $140 milhões logo após o incidente. Até agora, 5.443 relatórios foram submetidos, mas apenas 70 se provaram válidos, relatou Zhou.
A exchange já pagou $2,3 milhões em recompensas, com uma parte significativa concedida à Mantle Network, um protocolo de camada 2 do Ethereum. Os esforços da Mantle levaram ao congelamento de $42 milhões em ativos comprometidos.
“Estamos apenas começando”, disse Zhou, incentivando mais participação. “Precisamos de mais caçadores de recompensas, especialmente aqueles que podem ajudar a decifrar a atividade dos mixers. É onde reside muita da complexidade.”
Os efeitos em cadeia da exploração da Bybit já estão sendo sentidos em todo o ecossistema cripto. Em 17 de abril, a exchange descentralizada eXch anunciou que fechará até 1º de maio, após relatos implicando-a na lavagem de parte dos fundos hackeados.
À medida que a caçada continua, o incidente sublinha tanto a sofisticação do crime cripto patrocinado por Estados quanto o papel evolutivo da colaboração público-privada na resposta ao cibercrime. A habilidade da Bybit em rastrear quase $1 bilhão em fundos roubados oferece uma centelha de esperança em um cenário de ameaças cada vez mais complexo.