L'exchange di criptovalute ByBit ha rivelato che appena un ventesimo degli asset sottratti nell'exploit da 1,4 miliardi di dollari orchestrato dal Lazarus Group della Corea del Nord sono attualmente bloccati. "Solo il 3,84% dei fondi violati viene congelato", ha rivelato l'amministratore delegato (CEO) Ben Zhou tramite X, avvertendo che il resto "continua a circolare in una rete sempre più fitta di mixer, scambi incrociati e scrivanie da banco".
Fondi crittografici congelati? Appena
La revisione forense interna dell'exchange fissa la perdita originale a circa 500.000 ETH, valutata 1,4 miliardi di dollari al momento del furto. Di quel totale, il 68,57% rimane rintracciabile, mentre il 27,59% è scomparso: una discrepanza che Zhou attribuisce alla “rapida frammentazione e al deliberato salto di catena progettato per frustrare la sorveglianza”.
Secondo un riepilogo esecutivo di ByBit datato 21 aprile, la tranche non tracciabile è passata prima attraverso il mixer Wasabi, con frammenti più piccoli successivamente incanalati in CryptoMixer, Tornado Cash e Railgun. Le monete riciclate hanno poi attraversato diversi bridge cross-chain e router di swap (Thorchain, eXch, Lombard, LiFi, Stargate e SunSwap) prima di scomparire nuovamente all'interno delle rampe fiat P2P e OTC. “Ogni salto riduce la visibilità di qualche punto base in più”, ha detto Zhou, sottolineando che gli investigatori ora si trovano ad affrontare “un labirinto di decine di migliaia di portafogli microscopici”.
Per quanto riguarda Ethereum, l'azienda ha trasferito 432.748 ETH, circa l'84,45% dello stack originale, in BTC tramite Thorchain. Circa il 67,25% dell'importo iniziale di ETH, ovvero 342.975 monete, è già diventato 10.003 BTC, sparsi su 35.772 portafogli con una media di 0,28 BTC ciascuno. Un residuo di 5.991 ETH, che rappresentano l'1,17% del bottino, si trova ancora nativamente su Ethereum in 12.490 indirizzi con un saldo medio inferiore a mezzo ether.
Il percorso Bitcoin mostra un'immagine speculare del ciclo di riciclaggio. ByBit ha scoperto che 944 BTC, ovvero il 6,34% della scorta convertita, sono finiti a Wasabi. Altri 531 BTC, equivalenti a 18.206 ETH, ovvero il 3,57%, sono già stati trasferiti su Ethereum tramite Thorchain, sottolineando la preferenza degli aggressori per lo swing trading tra catene per sfruttare i punti ciechi analitici.
Gli investigatori che lavorano con la piattaforma di crowdsourcing Lazarusbounty.com hanno tentato di mappare la dispersione. Negli ultimi 60 giorni il sito ha registrato 5.443 invii di taglie, ma solo 70 sono state ritenute valide. Un avviso sul portale chiede una maggiore partecipazione del pubblico: "Accogliamo con favore più segnalazioni; abbiamo bisogno di più cacciatori di taglie in grado di decodificare i mixer poiché abbiamo bisogno di molto aiuto lungo la strada."
Nonostante i numeri scoraggianti, Zhou insiste che la finestra per i risarcimenti non si è ancora chiusa. "Circa due terzi della criptovaluta sono ancora visibili sulla catena, anche se altamente frammentati", ha affermato, aggiungendo che ulteriori congelamenti dipenderanno da "pressioni coordinate tra scambi centralizzati, hub di liquidità cross-chain e persino gateway fiat".
Per ora, tuttavia, la parte del leone del bottino di guerra legato a Lazarus rimane in movimento, scambiandosi, collegandosi e precipitando nel sottobosco decentralizzato, mentre la frazione congelata si attesta a solo il 3,84%, una statistica che illustra chiaramente quanto rimanga poroso il perimetro di applicazione globale contro i furti di criptovalute sponsorizzati dallo stato.
Al momento della stesura di questo articolo, ETH veniva scambiato a 1.631 dollari.
