Odaily แพลนเน็ต เดลี่ ทีมงานด้านความปลอดภัยของ Beosin ได้ทำการติดตามและวิเคราะห์เงินที่ถูกขโมยไปจากการแฮ็กตลาดแลกเปลี่ยน Bybit อย่างละเอียด งานวิจัยพบว่าที่อยู่ฝากเงินที่ถูกขโมยไป 1 ที่อยู่ คือ 0x36ed3c0213565530c35115d93a80f9c04d94e4cb ได้โอน 5,000 ETH ไปยังที่อยู่แยก 0x4571bd67d14280e40bf3910bd39fbf60834f900a เมื่อเวลา 06:28:23 UTC ของวันที่ 22 กุมภาพันธ์ 2025 จากนั้นเงินจะถูกแบ่งออกเป็นจำนวนตั้งแต่สิบไปจนถึงหลายร้อย ETH ในทุก ๆ ไม่กี่นาที และโอนไปยังที่อยู่หลายแห่ง ที่น่าสังเกตคือหลังจากโอนเงินหลายครั้ง มีเงินจำนวนหนึ่งพยายามที่จะโอนข้ามเครือข่ายไปยังที่อยู่เครือข่าย BTC bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq ผ่าน Chainflip ซึ่งบ่งชี้ว่าแฮกเกอร์พยายามปกปิดการไหลของเงินผ่านการดำเนินการข้ามเครือข่ายให้มากขึ้น
นอกจากนี้ เมื่อเวลา 07:44:47 UTC ของวันที่ 22 กุมภาพันธ์ 2025 ที่อยู่ที่แยกได้โอน 56.68 ETH ไปยังที่อยู่สีดำ 0x33d057af74779925c4b2e720a820387cb89f8f65 ที่อยู่ดังกล่าวถูกทำเครื่องหมายไว้ว่า "Hacker: Phemex Hacker" ในไลบรารีแท็ก Beosin และ "การโจรกรรมเงิน 85 ล้านดอลลาร์จาก Phemex Exchange" เกิดขึ้นโดยกลุ่มแฮกเกอร์ชื่อดังอย่าง Lazarus Group การค้นพบที่สำคัญนี้ยืนยันการอนุมานก่อนหน้าของเราโดยอาศัยความคล้ายคลึงกันระหว่างโหมดการโจมตีและเหตุการณ์ WazirX ว่าการโจมตีของแฮ็กเกอร์ Bybit Exchange มีความเป็นไปได้ที่จะเกี่ยวข้องกับ Lazarus Group มาก
ที่น่ากล่าวถึงก็คือ ในเหตุการณ์ Phemex เงินที่ถูกขโมยไปส่วนหนึ่งได้ถูกโอนไปยังมิกเซอร์ เช่น Tornado Cash เพื่อปกปิดการไหลของเงิน เราเตรียมพร้อมอย่างเต็มที่สำหรับเหตุการณ์ Bybit เมื่อเงินที่เกี่ยวข้องเข้าสู่ระบบ Tornado.cash Mixer แล้ว Beosin จะเริ่มวิเคราะห์การเจาะกองทุนทันที กลุ่มทำงานพิเศษได้รับการติดตั้งด้วยอัลกอริทึมการเจาะระบบ Tornado Cash เวอร์ชันล่าสุด และมีนักวิเคราะห์มืออาชีพหลายรายเข้าร่วมด้วย ซึ่งประสบความสำเร็จในการเจาะระบบเงินในกรณีที่คล้ายคลึงกัน ทำให้มั่นใจได้ว่าสามารถติดตามการไหลของเงินได้อย่างมีประสิทธิภาพ และให้การสนับสนุนที่แข็งแกร่งสำหรับการดำเนินการในภายหลัง ปัจจุบันทีมงานด้านความปลอดภัยของ Beosin กำลังให้ความร่วมมือกับทีมงานด้านความปลอดภัยของ Bybit เพื่อติดตามเงินทุน