Nel post-mortem dell'hack di Bybit da 1,5 miliardi di dollari, due organizzazioni di ricerca blockchain — Nansen e Chainalysis — hanno rivelato la strategia di riciclaggio del Lazarus Group, che comprende lo swap di asset illiquidi con asset liquidi, la creazione di una complessa pista di denaro e il lasciare che alcuni wallet rimangano inattivi per far calare il controllo.
Secondo Nansen, la strategia tipica del Lazarus Group prevede innanzitutto lo swap degli asset illiquidi in quelli più fungibili e, quindi, più facili da spostare. Dopo l'hack di Bybit, l'autore ha convertito almeno 200 milioni di dollari in token staked in Ether (ETH), i quali possono essere spostati molto più facilmente onchain.
Dopo questa conversione da asset illiquidi a liquidi, è stato effettuato il processo di riciclaggio. Per creare un'offuscamento, l'hacker ha utilizzato un labirinto di wallet intermedi per creare un percorso complesso volto a confondere i tracker. Secondo Chainalysis, i fondi sono stati riciclati attraverso exchange decentralizzati, bridge crosschain e persino servizi di instant swap che non richiedono la verifica del Know Your Customer (KYC).
La complessità delle attività di riciclaggio del Lazarus Group. Fonte: Chainalysis
Gran parte degli ETH sono stati scambiati con Bitcoin (BTC) e stablecoin come Dai (DAI). In alcuni casi, gli analisti blockchain sono stati in grado di tracciare questi movimenti in tempo reale. Ciò ha permesso ad alcune organizzazioni che gestiscono questi protocolli decentralizzati, come Chainflip, di bloccare il tentativo del criminale di riciclare i fondi rubati.
Durante il processo di riciclaggio, l'hacker ha continuato a suddividere i fondi rubati in gruppetti più piccoli inviandoli a un numero crescente di wallet. Nel primo “salto” i fondi sono stati divisi da un singolo wallet a 42 wallet. Il secondo “salto” da 42 wallet a migliaia di wallet.
Finora, il denaro riciclato dall'hack di Bybit è solo una parte degli 1,5 miliardi di dollari. Il Lazarus Group ha un'altra strategia per evitare l'attenzione che un furto di alto profilo comporta: sedersi e aspettare. Alcuni wallet con il denaro rubato (una somma che tra i vari wallet ammonta attualmente a 900 milioni di dollari) sono rimasti inattivi, mentre il gruppo aspetta che l'attenzione cali.
L'attacco da quasi 1,5 miliardi di dollari è superiore all'intero bottino del gruppo ottenuto nel 2024 - 1,3 miliardi di dollari suddivisi in 47 attacchi. L'attacco è il più grande furto del mondo crypto di tutti i tempi e ha riunito la community a sostegno di Bybit e contro gli hacker. Pur dovendo affrontare un maggiore controllo, il Lazarus Group ha continuato ad adattarsi. Come riporta Cointelegraph, la sua strategia di guerra informatica rimane una delle più lucrative e sofisticate al mondo.