Bybit-hackere på farten? Stjålne midler sandsynligvis på vej til mixere – rapport

Et blockchain-sikkerhedsfirma afslørede, at stjålne midler fra krypto-børsen Bybit bliver flyttet af hackere til krypto-mixere for at konvertere de indkøbte midler til Bitcoin i et forsøg på at sløre transaktionsstien.
Elliptic tror, at hackerne kendt som Lazarus Group, der er baseret i Nordkorea, måske forsøger at hvidvaske de stjålne midler ved hjælp af krypto-mixere for at gøre det sværere at spore transaktionerne.
Bybit Hackere På Farten
Elliptic rapporterede, at $1,4 milliarder stjålne digitale aktiver fra hacking-hændelsen på krypto-børsen Bybit angiveligt er på vej til krypto-mixere, så hackerne kan hvidvaske midlerne uden at blive sporet af myndighederne.
“Hvis tidligere hvidvaskningsmønstre følges, kunne vi forvente at se brugen af mixere næste gang,” sagde Elliptic.
Et blockchain-sikkerhedsfirma tilskrev det multi-milliard-dollar krypto-røveri til Nordkoreas hackerne, der kun er kendt som Lazarus Group.
Dog bemærkede Elliptic, at det kunne vise sig at være for udfordrende for hackergruppen at hvidvaske røveriets krypto-midler på grund af det store volumen af stjålne aktiver, de skal flytte uden nogen spor.
“Nordkoreas Lazarus Group er den mest sofistikerede og ressourcestærke hvidvasker af kryptoaktiver, der findes, og tilpasser konstant sine teknikker for at undgå identifikation og beslaglæggelse af stjålne aktiver,” bemærkede Elliptic på sin hjemmeside.
Hvidvaskningsprocessen
Elliptic forklarede, at Nordkoreas Lazarus Group har en hvidvaskningsproces, der normalt følger et karakteristisk mønster. “Det første trin er at udveksle eventuelle stjålne tokens til en “lokal” blockchain-aktiv, såsom Ether. Dette skyldes, at tokens har udstedere, der i nogle tilfælde kan “fryse” tegnebøger med stjålne aktiver, mens der ikke er nogen central part, der kan fryse Ether eller Bitcoin,” sagde blockchain-sikkerhedsfirmaet. ETHUSD-handel til $2,49 på daglig graf: TradingView.com
I tilfælde af Bybit-tyveriet skete dette første trin inden for minutter efter røveriet. Elliptic sagde, at “hundredvis af millioner dollars i stjålne tokens såsom stETH og cmETH blev udvekslet til Ether.”
Hackerne udnyttede decentrale børser (DEXs) til at opnå dette for at undgå eventuel frysning af aktiver, der kunne ske, når de bruger en centraliseret børs til at hvidvaske stjålne midler.
“Det andet trin i hvidvaskningsprocessen er at “lagre” de stjålne midler for at forsøge at skjule transaktionsstien. Gennemsigtigheden af blockchains betyder, at denne transaktionssti kan følges, men disse lagringstaktikker kan komplicere sporingen, hvilket giver hvidvaskerne værdifuld tid til at indkassere aktiverne,” bemærkede sikkerhedsfirmaet.
Lagringen kan gøres på flere måder, såsom at sende midler gennem et stort antal kryptotegnebøger, flytte midler til andre blockchains, skifte mellem forskellige kryptoaktiver eller bruge krypto-mixere.
Systematisk Tømt
Elliptic sagde, at de nordkoreanske hackere i øjeblikket er i den anden fase af hvidvaskning eller gør lagringsprocessen og tilføjede, at hackerne gjorde det ved at sende de stjålne midler til 50 forskellige tegnebøger inden for to timer efter røveriet. Hver tegnebog holder anslået 10.000 ETH.
“Disse tømmes nu systematisk – pr. 10 pm UTC den 23. februar er 10% af de stjålne aktiver (nu værd $140 millioner) blevet flyttet fra disse tegnebøger. Når de er flyttet ud af disse tegnebøger, bliver midlerne hvidvasket gennem forskellige tjenester, herunder DEXs, cross-chain bridges og centraliserede børser,” forklarede sikkerhedsfirmaet.
Største Røveri Nogensinde
Rapporter sagde, at der blev stjålet anslået $1,46 milliarder i digitale aktiver fra Dubai-baserede krypto-børs Bybit den 21. februar 2025. Efterforskere foreslog, at “malware blev brugt til at narre børsen til at godkende transaktioner, der sendte midlerne til tyven.”
Denne hændelse er hidtil det “største krypto-røveri nogensinde”, som er meget større end de $611 millioner i kryptoaktiver, der blev røvet fra Poly Network i 2021.
Fremhævet billede fra Gemini Imagen, diagram fra TradingView.