Apesar do roubo recorde de $1,4 bilhão em criptomoedas em fevereiro, supostamente orquestrado pelo Grupo Lazarus da Coreia do Norte, a maioria dos fundos roubados da exchange Bybit permanece rastreável, de acordo com o CEO Ben Zhou.
Em uma atualização detalhada postada em 21 de abril no X, Zhou revelou que 68,6% dos ativos digitais roubados - no valor de quase $960 milhões - ainda podem ser seguidos através de análises forenses de blockchain. Aproximadamente 27,6% dos fundos ficaram em sigilo, enquanto apenas 3,8% foram congelados com sucesso até agora.
A violação de fevereiro, que explorou a infraestrutura da carteira fria da Bybit, é considerada um dos maiores hacks de exchange até hoje. Após o roubo, os atacantes utilizaram uma estratégia complexa de lavagem envolvendo mixers, pontes e plataformas descentralizadas para ocultar a origem dos fundos.
Zhou apontou que a Wasabi Wallet, um mixer de Bitcoin focado em privacidade, foi a principal ferramenta de lavagem usada pelos hackers. Quantias menores foram posteriormente canalizadas através de CryptoMixer, Tornado Cash e Railgun, todos bem conhecidos na comunidade cripto por melhorar o anonimato.
As trocas de cadeia cruzada e os serviços de ponte também desempenharam um papel crucial. Fundos ligados ao Lazarus foram direcionados através de plataformas como THORChain, eXch, Lombard, LI.FI, Stargate e SunSwap antes de serem convertidos e movidos para mercados peer-to-peer (P2P) e de balcão (OTC) - tornando a recuperação mais desafiadora.
Uma grande parte do Ether roubado - 432.748 ETH, ou cerca de $1,21 bilhão - foi movida de Ethereum para Bitcoin através do THORChain, um protocolo de liquidez de cadeia cruzada descentralizado. Cerca de dois terços desse Ether, aproximadamente $960 milhões, foram convertidos em 10.003 BTC distribuídos em 35.772 carteiras Bitcoin, confirmou Zhou.
Enquanto isso, cerca de $17 milhões em ETH permanecem no Ethereum em 12.490 endereços, oferecendo aos investigadores algumas pistas remanescentes na cadeia.
Para incentivar os investigadores de blockchain e hackers éticos, a Bybit lançou um Programa de Recompensa de $140 milhões para Lazarus logo após o incidente. Até agora, 5.443 relatórios foram submetidos, mas apenas 70 se provaram válidos, relatou Zhou.
A exchange pagou $2,3 milhões em recompensas, com uma parte significativa atribuída à Mantle Network, um protocolo Ethereum de camada 2. Os esforços da Mantle levaram ao congelamento de $42 milhões em ativos comprometidos.
“Estamos apenas começando”, disse Zhou, incentivando uma maior participação. “Precisamos de mais caçadores de recompensas, especialmente aqueles que podem ajudar a decodificar atividade de mixers. É aí que muita complexidade reside.”
Os efeitos da exploração da Bybit já estão sendo sentidos em todo o ecossistema cripto. Em 17 de abril, a exchange descentralizada eXch anunciou que encerraria as atividades até 1º de maio, após relatos que a implicavam na lavagem de parte dos fundos hackeados.
À medida que a busca continua, o incidente destaca tanto a sofisticação do crime cibernético patrocinado pelo Estado quanto o papel evolutivo da colaboração público-privada na resposta a crimes cibernéticos. A capacidade da Bybit de rastrear quase $1 bilhão em fundos roubados oferece uma réstia de esperança em um cenário de ameaças cada vez mais complexo.