Лазарус начинает отмывать 400 000 эфиров, украденных у Байбита

Северокорейская хакерская группа Lazarus начала отмывать 5000 ETH, полученных в результате взлома Bybit на сумму 1,5 миллиарда долларов, запустив свою типичную сложную операцию по отмыванию денег.

Исследователь блокчейна ZachXBT раскрыл эту информацию, поделившись адресами кошельков и временными метками в обновлении Telegram, но вскоре это было подтверждено генеральным директором Bybit Беном Чжоу через пост на X, хотя менее чем через час Зак удалил этот пост.

Мы начинаем наблюдать, как часть средств переводится на https://t.co/O4AqIJo81z в качестве промежуточного транша для конвертации в BTC: bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

с указанными ниже транзакциями:
0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…

— Бен Чжоу (@benbybit) 22 февраля 2025 г.

Украденная криптовалюта сначала попала на новый адрес Ethereum , затем прошла через eXch, централизованный миксер, после чего была переведена в Bitcoin через Chainflip.

Компания Bybit ожидает масштабного притока средств в связи с перемещением фондов

Тем временем, на фоне катастрофы, на Bybit наблюдается массовый приток средств. Данные SoSoValue и TenArmor показывают, что за последние 12 часов на биржу поступило более 4 миллиардов долларов в виде депозитов, в том числе 63 168,08 ETH, 3,15 миллиарда долларов в USDT, 173 миллиона долларов в USDC и 525 миллионов долларов в CUSD.

Большая часть этих средств поступает из холодных кошельков Bybit в горячие кошельки, что обеспечивает вывод средств и промежуточные займы от внешних поставщиков ликвидности.

Через несколько минут после удаления сообщения в Telegram Зак опубликовал пост на X, связав взлом Bybit со взломом Phemex и выявив пересечение украденных средств. «Lazarus Group напрямую связала взлом Bybit со взломом Phemex в блокчейне, смешав средства с первоначального адреса кражи для обоих инцидентовdent, — написал Зак в своем посте.

По словам Зака, связь между двумя атаками обеспечивается общим адресом — 0x33d057af74779925c4b2e720a820387cb89f8f65. Бен Чжоу из Bybit подтвердил, что вывод средств возобновился в полном объеме.

«Спустя 12 часов после самой масштабной хакерской атаки в истории, ВСЕ запросы на вывод средств обработаны. Наша система вывода средств полностью вернулась к нормальному режиму работы. Вы можете вывести любую сумму без задержек», — сказал он.

Чжоу также пообещал в ближайшие дни опубликовать полный отчетdent и новые меры безопасности. «Компания Bybit опубликует полный отчет обdent , а также информацию о мерах безопасности в ближайшие несколько дней. Я лично буду держать вас в курсе»

Тем временем Elliptic, Chainalysis и Arkham Intelligence tracукраденные ETH по 39 различным адресам, после чего они были быстро перераспределены и сданы. Затем Arkham объявила награду в 36 000 долларов заdentличности хакера, и вскоре после этого Зак одержал победу, разоблачив Лазаруса.

Согласно данным Elliptic, взлом Bybit стал крупнейшей кражей криптовалюты в истории, превзойдя по этому показателю 611 миллионов долларов, украденных у Poly Network (2021 год), и 570 миллионов долларов, выведенных из Binance (2022 год).

Группа Lazarus имеет историю взлома криптовалютных платформ для финансирования северокорейского режима. Впервые они атаковали южнокорейские биржи в 2017 году, украв Bitcoin. С тех пор они усовершенствовали методы отмывания криптовалюты, скрывая средства с помощью миксеров, мостов и малоизвестных DeFi протоколов

В пятницу Том Робинсон из Elliptic подтвердил, что все украденные адреса электронных кошельков были помечены для предотвращения отмывания денег через крупные биржи.

«Чем сложнее нам будет извлечь выгоду из подобных преступлений, тем реже они будут совершаться», — написал Робинсон в своем посте.