La Oficina Federal de Investigación de Estados Unidos (FBI) ha declarado oficialmente que Hackeo de Bybit por 1.500 millones de dólares vinculado al grupo de piratas informáticos norcoreano Lazarus (también conocido como TraderTraitor) e identificó el incidente como un ciberataque patrocinado por el Estado con el objetivo de blanquear activos a través de múltiples blockchains. El FBI ha pedido que se bloqueen las transacciones de los hackers para evitar más blanqueo de dinero (el documento contiene las siguientes direcciones).
La bolsa de criptomonedas Bybit también publicó los resultados de su propia investigación. El autor del informe, VeriChains, determinó que el código malicioso (se sustituyó un archivo JavaScript) se introdujo el 19 de febrero de 2025 y se activó el 21 de febrero durante una transacción de Bybit. Se trataba de una transacción rutinaria que transfería fondos de un monedero frío multisig (sistema de almacenamiento offline) de Ethereum — a un monedero caliente (software) destinado a operaciones de trading diarias.
El ataque se llevó a cabo a través de una cuenta comprometida o una clave API filtrada de los proveedores de infraestructura Bybit: AWS S3 o CloudFront de Safe.Global. La caché del malware se encontró gracias a Wayback Machine.
Como resultado del hackeo de Bybit, la plataforma THORChain, que los hackers utilizaban para blanquear dinero, también se benefició. El volumen de transacciones aumentó a 2.910 millones de dólares, y se recibieron 3 millones de dólares en concepto de tasas de procesamiento en 5 días. Antes de que los hackers empezaran a blanquear los activos robados, el volumen medio diario de transacciones de THORChain rondaba los 80 millones de dólares.
Ingeniero de Nine Realms, desarrollador del núcleo THORChain, realizado en defensa del protocolo. Pluto (9R) reconoció que se transferían fondos ilegales a través de THORChain, pero añadió que el equipo ayudaba a implantar servicios de detección.