Федеральное бюро расследований США (ФБР) официально заявило, что взлом Bybit на $1,5 млрд связан с северокорейской хакерской группировкой Lazarus (известной также как TraderTraitor) и определило инцидент как спонсируемую государством кибератаку, направленную на отмывание активов через несколько блокчейнов. ФБР призвало блокировать транзакции хакеров, чтобы предотвратить дальнейшее отмывание средств (в документе указаны адреса).
Также криптобиржа Bybit опубликовала собственные результаты расследования. Автор отчета, компания VeriChains, определила, что вредоносный код (произошла подмена JavaScript-файла) внедрили 19 февраля 2025 года, активация состоялась 21 февраля во время выполнения транзакции Bybit. Это была рутинная операция, в ходе которой проводился перевод средств из мультиподписного (multisig) холодного кошелька (офлайн-системы хранения) Ethereum — в горячий (программный) кошелек, предназначенный для выполнения ежедневных торговых операций.
Атаку удалось осуществить через скомпрометированную учетную запись или утечку API-ключа поставщиков инфраструктуры для Bybit: AWS S3 или CloudFront компании Safe.Global. Кэш вредоносного кода нашли благодаря интернет-архиву Wayback Machine.
В результате взлома Bybit в выигрыше осталась и платформа THORChain, которой хакеры воспользовались для отмывания средств. Объем транзакций вырос до $2,91 млрд, а также $3 млн получить в виде комиссий за обработку в течение 5 дней. До того, как хакеры начали отмывать украденные активы, средний ежедневный объем транзакций THORChain был около $80 млн.
Инженер Nine Realms, разработчик ядра THORChain, выступил в защиту протокола. Pluto (9R) признал, что через THORChain проходили незаконные средства, но добавил, что команда помогала внедрить скрининговые сервисы.