По данным The Block: хакеры Bybit переместили не менее 209 384 ETH (~480 миллионов долларов) на Bitcoin, большая часть из которых была отправлена с использованием ThorChain, как утверждает эксперт по безопасности Ethereum Тейлор Мойнахан и данные исследования Arkham.
Лазарус похитил более 400 000 ETH в пятничной атаке, а также около 113 000 токенов, связанных с ETH.
Некоторые разработчики и валидаторы ThorChain пытались предотвратить пранкерство Северной Кореи, но столкнулись с техническими и коммуникационными сложностями.
Руководитель отдела безопасности MetaMask Тейлор Монаган утверждает, что хакеры Bybit переместили не менее 209 384 ETH (~480 миллионов долларов) на Bitcoin, в сообщении для The Block. Это более половины примерно 400 000 ETH, похищенных с биржи, не включая другие токены, - сказала Монаган.
По меньшей мере 240 миллионов этой суммы было отмыто с использованием THORchain, согласно данным Arkham Intelligence, который отслеживает цифровые кошельки, связанные с хакерской группой. Украденная криптовалюта "в основном была обменена на BTC," сообщила Arkham в сообщении на X.
На прошлой неделе Arkham Intelligence заявили, что группа Лазарус из Северной Кореи взломала Bybit на сумму более 1,5 миллиарда долларов, ссылаясь на информацию, предоставленную онлайн-разведчиком ЗакомXBT.
Федеральное бюро расследований подтвердило, что взлом был совершен тщательной группой "TraderTraitor" из Северной Кореи, включая группу Лазарус.
GBT заявили в своем сообщении: "Трасты-предатели действуют быстро, и уже часть похищенных активов была сконвертирована в Bitcoin и другие виртуальные активы, рассеянные по тысячам адресов на нескольких блокчейнах. Ожидается, что эти активы будут дальше отмыты и, в конечном итоге, сконвертированы в фиатные деньги."
Согласно экспертам по безопасности Ethereum, взлом на 1,5 миллиарда долларов оказался сложнее обычного для отслеживания. Группу Лазарус известно своим делением средств и использованием нескольких протоколов для передачи средств, но этот конкретный эксплуатационный метод включает тысячи отдельных транзакций.
"Так оформлен слеживание хака Bybit," - сказал псевдонимный исследователь СомаХБТ, обозревая о сложной структуре разделения средств. "Это всего лишь след 2 шага (по 10 ETH каждый). Мой Mac Air дословно горит при загрузке этих транзакций."
Всего хакеры вывели около 400 000 ETH (по оценкам в 1,1 миллиарда долларов на момент атаки), 90 000 stETH, 15 000 cmETH и 8 000 cETH. Однако не ясно, сколько ETH в настоящее время удерживают хакеры, поскольку некоторые активы, включая 43 миллиона долларов в mETH, были заморожены.
Свопы ThorChain
Монаган из Metamask оценивает, что хакеры переместили по крайней мере 161 490 ETH (на сумму 370 миллионов долларов по текущим ценам) через 3 934 различных мостовых транзакций на ThorChain за последние 115 часов с момента взлома. Это большая часть из 209 384 ETH, которые по ее словам попали на Bitcoin, - сообщила она The Block.
"Это 3 229 800 в час," - сказала Монаган.
Похоже, Лазарус использует два основных некастодиальных мосты
Относительно атаки, упомянутые ThorChain и eXch. Однако eXch, известная в основном своими слабыми контрольными точками KYC,,, чтобы помешать хакерам перемещать средства в биткоин.
В среду генеральный директор Bybit объявил, что биржа предложит 5% вознаграждения биржам, мостам и смесителям, которые помогут заморозить средства, связанные с атакой. Это расширение 10% вознаграждение, которое Bybit изначально предложила тем, кто мог бы вернуть средства. На момент публикации неясно, получала ли eXch вознаграждение.
Из 161 490 ETH, которые, по данным блокчейна, были переданы через кросс-цепочечную платформу обмена ThorChain, хакеры использовали множество инструментов блокчейна, включая Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet и другие.
ThorChain увидел свой самый крупный день торгового объема в среду, с общим объемом обмена токенов более чем на 737 миллионов долларов.
"Все это происходит от хакеров Лазарус", сказал пользователь ThorChain @diplo на X. "Но кому это на самом деле волну, это победа для TC. Единственное, что беспокоит, это что произойдет с ценой, как только эти обмены остановятся. В данный момент BTC кровоточит, если бы у нас этого не было, я думаю, мы были бы выше 1 доллара."
Местная максимальная цена торгового токена RUNE ThorChain превысила 1,60 доллара с момента взлома, недавно достигнув максимума, но далеко от максимума в более...
сообщения, которые оторваны от реальности людей, которые работали на передовой."
Сразу после опустошения холодного кошелька Bybit Лазарь переместил украденные средства на три отдельных "распределительных" адреса — 0xB4a, 0x23Ob и 0x83E — затем разбил их на десятки вновь созданных адресов. Группа также обменивала эфирные деривативы, такие как stETH и cETH, на ETH с использованием децентрализованных бирж Uniswap, Paraswap и KyberSwap.