За даними The Block: хакери Bybit перемістили принаймні 209 384 ETH (~ $ 480 мільйонів) на Bitcoin, більшість з яких було відправлено за допомогою ThorChain, згідно з даними експерта з безпеки Ethereum Тейлора Моінагена та даними Arkham Research.
Лазарус вкрав понад 400 000 ETH під час нападу у п'ятницю, а також приблизно 113 000 токенів, пов'язаних з ETH.
Деякі розробники та валідатори ThorChain намагалися запобігти використанню КНДР для відмивання коштів, але стикалися з викликами з боку технологій та спільноти.
Керівник з безпеки MetaMask Тейлор Монаген сказав, що хакери Bybit перемістили принаймні 209 384 ETH (~ $ 480 мільйонів) на Bitcoin, у повідомленні для The Block. Це становить більше половини приблизно 400 000 ETH, взятих з біржі — не враховуючи інші втрачені токени.
Понад $ 240 мільйонів з цієї суми було відмито за допомогою THORChain, згідно з Arkham Intelligence, яка відстежує цифрові гаманці, пов'язані з групою хакерів. Вкрадену криптовалюту "головним чином було обміняно на нативний BTC", сказано в пості на Х.
Минулої п'ятниці Arkham Intelligence заявила, що Лазарус-група Північної Кореї вила, що хакнула Bybit на понад 1,5 мільярда доларів, посилаючись на інформацію, надану онлайн-детективом ЗахХБТ.
Федеральне бюро розслідувань згодом підтвердило, що взлом був здійснений зловмисниками з Північної Кореї "Трейдер-зрадник", до яких належить і група Лазарус.
"Зловмисники Трейдер-зрадники діють швидко і вже обміняли частину вкрадених активів на Bitcoin та інші віртуальні активи, розподілені по тисячах адрес на різних блокчейнах", — заявило ФБР в своєму оголошенні. Очікується, що ці активи будуть подальш відмиті та, нарешті, обмінені на фіатні кошти.
За даними експертів з безпеки Ethereum, відстеження $ 1,5 мільярда важче, ніж зазвичай. Лазарус відомий як розподільник коштів та користування різними протоколами для переміщення коштів, але цей конкретний вторгнення включає тисячі окремих транзакцій.
"Ось як виглядає відстеження хаку Bybit," — сказав псевдонімний дослідник СомаХБТ на Х, лаявши про складність розподілу коштів. "[Це] лише відстеження 2 стрибків (по 10 ETH кожен). Мій Mac Air буквально палиться, щоб завантажити ці транзакції."
В цілому хакери викрали понад 400 000 ETH (~ 1,1 мільярда доларів на момент атаки), 90 000 стETH, 15 000 cmETH та 8 000 cETH під час нападу. Проте невідомо, скільки ETH наразі утримують хакери, оскільки деякі активи — включаючи 43 мільйона доларів у mETH — були заморожені.
Обміни ThorChain
Тейлор Монаген з MetaMask оцінює, що хакери перемістили принаймні 161 490 ETH (вартість $ 370 мільйонів за поточними цінами) за допомогою 3 934 різних місткових транзакцій на ThorChain за останні 115 годин після взлому. Це становить більшість з 209 384 ETH, про які, на її думку, було переміщено на Bitcoin, вона сказала The Block.
"Це $3 229 800 за годину", — сказала вона.
Здавалося б, Лазарус використовує два основні некастодіальні місткові
Щодо атаки, зазначені ThorChain та eXch. Однак eXch, відома переважно своєю нестримною контролем KYC, здається, вимкнула обміни ETH та токенів ERC-20, обмежуючи можливість хакерів переміщати кошти в біткоїни.
У середу генеральний директор Bybit оголосив, що біржа запропонує 5% винагороду біржам, місткам та сервісам змішування, які допоможуть заморозити кошти, пов'язані з атакою. Це розширення 10% винагороди, яку Bybit спочатку запропонувала кому завгодно, хто може повернути кошти. На даний момент неясно, чи отримала eXch винагороду.
З 161 490 ETH, підтверджених як пройшли через крос-ланцюгову платформу обміну ThorChain, хакери використали безліч блокчейн-інструментів, щоб пересунутися, включаючи Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet та інші, згідно з даними блокчейну.
ThorChain побачила свій найбільший день обсягів торгів у середу, з понад $737 мільйонів на обмін токенами.
"Це все від хакерів Лазарус," сказав користувач ThorChain @diplo на X. "Але хто справді цікавиться, це перемога для ТС. Єдине, що хвилює, це те, що станеться з ціною, коли ці обміни припиняться. BTC зараз втрачає, якщо б у нас не було цього, я не думаю, щоб ми зараз вище $1."
Місцевий максимум курсу токена RUNE ThorChain торгувався вище $1.60 з часу витоку, але далекий від максимуму понад $10 у 2024 році та історичного максимуму в $19.30, згідно з даними The Block's data page.
"Thorchain нічого не робить, щоб зупинити рух викраденої ETH через свою платформу, це погано закінчиться," - сказав користувач @AirdropGlideapp на X. "Цікаво, як одна особа може вимкнути ThorFi за 2 хвилини, але коли йдеться про зупинку Північної Кореї відмивання мільярдів доларів Ethereum через Thorchain, раптово неможливо зробити що-небудь!"
Зупинка потоків?
Згідно з кількома постами на X, внутрішній розкіс щодо потоків, пов'язаних з Лазарусом. Ще раніше у четвер троє валідаторів проголосували за відмову в трансакціях, пов'язаних з хаком Bybit, що, здається, тимчасово зупинило потоки. Однак "голосу повернуто за кілька хвилин" через екстремально децентралізований механізм консенсусу за ThorChain, що зберігає опції для валідаторів, пояснив один користувач.
Зокрема, псевдонімний головний розробник ядра THORChain Pluto пропонував вирішити це ончейн-відмивання грошей перед тим, як оголосити свою відставку з проекту. TCB, один з трьох валідаторів, які проголосували за зупинку торгівлі ETH THORChain, також сказав, що бореться з тим, як запобігти відмиванню грошей Північної Кореї.
"Коли велика більшість вашіх потоків – це викрадені кошти з Північної Кореї для найбільшого за всю історію крадіжки грошей в людській історії, це стане питанням національної безпеки, це вже не гра," - сказав TCB на X, додаючи, що ThorChain недостатньо децентралізована, щоб вижити під регуляторними атаками. "Спільнота TC має міцні переконання на основі того, що вони вивчають з коментарів".
зв’язок, який відключений від реальності людей, які виконують завдання на передовій."
Після виведення коштів з холодного гаманця Bybit, Лазарус перемістив викрадені кошти на три окремі "розподілчі" адреси — 0xB4a, 0x23Ob та 0x83E — а потім розбив їх на десятки новостворених адрес. Група також обмінювала похідні від ETH, такі як stETH та cETH, на ETH з використанням децентралізованих бірж Uniswap, Paraswap та KyberSwap.