Федеральне бюро розслідувань США (ФБР) офіційно заявило, що злам Bybit на $1,5 млрд пов’язаний з північнокорейським хакерським угрупованням Lazarus (відоме також як TraderTraitor) та визначило інцидент як спонсоровану державою кібератаку, спрямовану на відмивання активів через кілька блокчейнів. ФБР закликало блокувати транзакції хакерів, щоб запобігти подальшому відмиванню коштів (у документі вказані адреси).

Також криптобіржа Bybit опублікувала власні результати розслідування. Автор звіту, компанія VeriChains, визначила, що шкідливий код (відбулась підміна JavaScript-файлу) впровадили 19 лютого 2025 року, активація відбулась 21 лютого під час виконання транзакції Bybit. Це була рутинна операція, під час якої проводився переказ коштів із мультипідписного (multisig) холодного гаманця (офлайн-системи зберігання) Ethereum — до гарячого (програмного) гаманця, призначеного для виконання щоденних торгових операцій.

Атаку вдалось здійснити через скомпрометований обліковий запис або виток API-ключа постачальників інфраструктури для Bybit: AWS S3 або CloudFront компанії Safe.Global. Кеш шкідливого коду знайшли завдяки інтернет-архіву Wayback Machine.

В результаті зламу Bybit у виграші залишилась й платформа THORChain, якою хакери скористались для відмивання коштів. Об’єм транзакцій зріс до $2,91 млрд, а також $3 млн отримати у вигляді комісій за обробку протягом 5 днів. До того, як хакери почали відмивати вкрадені активи, середній щоденний об’єм транзакцій THORChain був близько $80 млн.

Інженер Nine Realms, розробник ядра THORChain, виступив на захист протоколу. Pluto (9R) визнав, що через THORChain проходили незаконні кошти, але додав, що команда допомагала впровадити скринінгові сервіси.