Bybit спустя 15 месяцев — $280M непрослеживаемых и баунти, который не востребован

Наиболее детальная публичная картина статуса возврата средств Bybit поступила из резюме CEO Бена Чжоу от 21 апреля 2025 года. На указанную дату:

- **68,57%** похищенных средств оставались прослеживаемыми on-chain - **27,59%** ушли в темноту через миксеры, P2P, OTC - **3,84%** были заморожены на различных площадках

Из конвертированной в BTC части: 86,29% похищенного ETH было конвертировано в BTC к 20 марта 2025 года, распределено примерно по 6 954 BTC-кошелькам по данным Elliptic. THORChain обработал около $1 миллиарда-плюс отмывания — 93% ETH-депозитов на THORChain на первой неделе были заражены Bybit по данным Elliptic.

eXch — no-KYC биржа мгновенного свопа — обработал не менее $200 миллионов средств Bybit по оценке Elliptic. Отдельный подсчёт ZachXBT поставил долю eXch минимум в $35 миллионов. SlowMist и Ник Бакс независимо оценили около $30 миллионов.

Затем вторая фаза отмывания: Wasabi, CryptoMixer и дополнительное рассеивание BTC. По заявлению Бена Чжоу от апреля 2025 года, около 944 BTC — порядка $90 миллионов на тот момент — было отмыто через Wasabi конкретно. (Более ранняя цифра в 193 BTC / $16 миллионов была скорректирована вверх по мере продолжения трассировки.)

Структурный ответ: немного, и доля ушедшего в темноту несколько выросла.

**Пост Elliptic к 12-месячной годовщине (21 февраля 2026 года)** описал восстановление как «подавляющее большинство похищенных средств было обработано» — то есть прошло через отмывочную инфраструктуру до точки, где дальнейшая on-chain трассировка даёт убывающую отдачу. Elliptic прекратил публиковать разбивку по Bybit отдельно, вместо этого вписав его в более широкий контекст северокорейского улова DPRK 2025 года — около $2,02 миллиарда по данным годового отчёта Chainalysis.

**Отчёт Chainalysis по криминалу в крипто за 2026 год** поставил долю возврата после отмывания «значительно ниже 5%» от первоначально похищенной суммы. Цифра включает замороженные средства, средства, возвращённые через переговоры с белыми хакерами, и средства, повторно атрибутированные после вторичного отмывания.

**Чистая оценка за 15 месяцев (май 2026 года)**: непрослеживаемая доля несколько выросла от апрельской 2025 года цифры в 27,59%. Ни один источник не опубликовал чистый трёхсторонний срез за май 2026 года. Консервативное прочтение — около 28–32% непрослеживаемых, рост обусловлен продолжающимся отмыванием на фоне статичной базы возврата.

В абсолютных долларах: из первоначальных $1,46 миллиарда около $280 миллионов теперь по-настоящему вышли за пределы on-chain досягаемости. Средства находятся в BTC-кошельках, прошедших через миксеры, а затем через P2P или OTC-каналы, которые публичная блокчейн-аналитика не может отследить.

eXch объявил о закрытии 1 мая 2025 года после публичной атрибуции как второй по величине прачечной Bybit. Публичные домены были отключены 30 апреля 2025 года. Отраслевые репортажи (цитируемые, но не подтверждённые нами через первоисточник) описывают изъятие немецкой полицией 8 ТБ данных и $38,2 миллиона средств; эта цифра широко циркулирует, но не фигурирует в первичном посте Elliptic от 30 апреля 2025 года — считать НЕПОДТВЕРЖДЁННОЙ при такой точности.

Что ПОДТВЕРЖДЕНО постшатдаун-анализом TRM Labs от 2 мая 2025 года: eXch продолжил предоставлять API-доступ «бизнес-партнёрам» — то есть миксерам и on-chain сервисам приватности, ранее бывшим клиентами eXch. «Закрытие» было публичным событием; операционная инфраструктура сохранилась под управлением «новой команды» при исходных операторах в роли «консультантов».

По состоянию на май 2026 года ни один официальный бренд-преемник eXch публично не идентифицирован. TRM предупредил, что eXch может сменить бренд через «выделенные пулы ликвидности», разрывающие on-chain непрерывность с историческим кластером кошельков eXch. Никаких обновлений правоприменения 2026 года в отношении исходных операторов eXch опубликовано не было.

Структурный вывод: немецкое изъятие произвело нарушение на уровне бренда. Операционная мощность отмывания сохранилась через маршрут API-доступа к бизнес-партнёрам. Средства Bybit, прошедшие через eXch в 2025 году, ушли куда-то; это «куда-то» операционно не было перекрыто.

Elliptic и Chainalysis сходятся в том, что основная часть непрослеживаемых средств Bybit — $280 миллионов-плюс, не оставивших дальнейшего on-chain следа, — была отмыта через китайскоязычные сети отмывания денег (CMLN).

Архитектура CMLN: OTC-деки, работающие на русскоязычных неформальных рынках, часто через WeChat и Telegram, принимающие BTC/USDT и конвертирующие в CNY-кэш или рублёвые банковские депозиты через подставные счета. Сети — не биржи в регуляторном смысле; они функционируют как брокерско-дилерские договорённости, где оператор берёт процент, а базовый поток — между контрагентами, никогда не совершающими прямых транзакций.

Отчёт Chainalysis по криминалу в крипто за 2026 год оценивает объём CMLN в $16,1 миллиарда в 2025 году — около $44 миллионов в день через 1 799 активных кошельков. CMLN отмывают около 10% поступлений от pig butchering в дополнение к потоку Lazarus/DPRK.

Структурная проблема: CMLN работают в юрисдикции (Китай), не координирующей с правоприменением США/ЕС по возврату криптовалюты. Ни одного публичного обвинения DOJ против операторов CMLN, конкретно связанных с отмыванием Bybit, по состоянию на 15 мая 2026 года подано не было. У Tether и китайского правоприменения нет публично объявленного совместного рабочего механизма по делам класса Bybit; политический климат — напряжённость США-Китай в крипто, встречное обвинение Китая в декабре 2025 года о краже BTC на $13 миллиардов против американских источников — делает такую координацию маловероятной.

$280 миллионов практически находятся в CNY-деноминированных банковских депозитах и неформальных кэш-позициях в китайскоязычных преступных экономиках. Средства расходуемы. Они on-chain непрослеживаемы за точкой конвертации.

Подразделение финансовых преступлений T3 (Tether + Фонд TRON + TRM Labs, запущенное в сентябре 2024 года) совокупно заморозило $450 миллионов-плюс в незаконном USDT с момента запуска по объявлению о вехе от 14 мая 2026 года.

Из них по Bybit/Lazarus конкретно: $19 миллионов заморожено (совокупная цифра на апрель 2025 года). Bybit-специфичная цифра публично не обновлялась с апреля 2025 года. Общий рост T3 идёт за счёт Ирана, Турции, pig butchering и других категорий — не за счёт инкрементального возврата Bybit.

Это структурное прочтение: инструментарий заморозки Tether работает против активно движущихся средств. К тому моменту, когда средства Bybit достигли китайского OTC-уровня, они более не находились на адресах, которые Tether мог заморозить — они были конвертированы из USDT в BTC, затем из BTC в CNY-кэш-эквиваленты. Инструментарий заморозки имеет временное окно. Средства Bybit прошли через это окно в конце февраля — марте 2025 года; после прохождения инструментарий структурно не способен их вернуть.

THORChain обработал около $1 миллиарда конвертации ETH-в-BTC Bybit. Протокол лёгкий по управлению по замыслу — ни один оператор не может заморозить своп на полпути. Операторы нод публично известны по данным DL News, многие — резиденты США, и консенсусная трактовка в отраслевых публикациях состоит в том, что они «осознанно поддерживали сеть работающей» в наиболее острый период отмывания Bybit.

Никаких правоприменительных действий против THORChain или операторов его нод по состоянию на май 2026 года не зафиксировано. Протокол вновь был использован при отмывании KelpDAO в апреле 2026 года. Правовая уязвимость THORChain значительна теоретически; операционные последствия на практике были нулевыми.

Таков паттерн для лёгкой по управлению кросс-чейн инфраструктуры: правовой статус не определён, практическое правоприменение отсутствует, объём отмывания продолжается. До тех пор пока суд не вынесет решение об ответственности оператора или OFAC не включит в санкционный список контракт протокола THORChain, рельс остаётся рабочим.

Предложено $140 миллионов. Выплачено $2,3 миллиона 13 охотникам по 70 принятым отчётам из 5 443 заявок.

99,8% невыплаченной доли — структурное прочтение того, как on-chain пулы баунти работают в 2026 году. Баунти вознаграждает пропорционально **возвращённым** средствам, а не **идентифицированным**. Охотники за баунти, способные выстроить on-chain след к адресам, с которых Bybit может получить возврат — замороженным через Tether, захваченным правоприменением или возвращённым контрагентными биржами, — получают выплату. Охотники, способные выстроить след к адресам, где средства вышли за пределы досягаемости (китайский OTC, очищенный через Wasabi BTC, P2P-фиат), — не получают.

Охотники, подавшие 70 принятых отчётов, вероятно включают основную часть on-chain криминалистического сообщества — сотрудников Elliptic, TRM, Chainalysis, независимых в стиле ZachXBT и Ника Бакса из SlowMist. Их работа произвела публичные репортажи, количественно определяющие потери. Она же дала крайне мало реального возврата.

Это не критика модели баунти. Это наблюдение о пределах on-chain криминалистики против отмывания государственными акторами при наличии маршрутов юрисдикционного выхода. Цепочка публична; кэш-аут — нет.

Для целей Sanctuary 15-месячное обновление по Bybit даёт три операционных урока.

**Первый**: раннее окно имеет значение. Из средств, замороженных Tether, почти все были заморожены в первые 30 дней. После этого темп заморозки упал почти до нуля. Compliance-команды площадок, получающих заражённые Bybit депозиты — напрямую или через THORChain — должны рассчитывать на вмешательство Tether при оповещении в течение первого месяца, а не позже.

**Второй**: китайский OTC-уровень не поддаётся скринингу. Sanctuary помечает BTC-адреса тегом `chinese_otc_cluster` на основе кластеризации TRM и Elliptic, но тег не распространяется на офф-чейн CNY-позиции. Как только средства достигают CMLN-кэш-слоя, on-chain атрибуция перестаёт иметь значение для целей возврата; она продолжает иметь значение только для риска форвардного потока (любые новые on-chain притоки с атрибутированных CMLN кошельков должны скрининговаться).

**Третий**: рельс THORChain — постоянная характеристика. Правовой статус THORChain в итоге может измениться, но для целей compliance-скрининга сегодня притоки THORChain должны скрининговаться на уровне кластера. Тег Sanctuary `thorchain_inflow_high_risk_origin` применяется к притокам, прослеживаемым в пределах семи хопов до обозначенных кластеров происхождения.

Кража на $1,5 миллиарда, пятнадцать месяцев спустя, даёт $19 миллионов в заморозках Tether, $30 миллионов в возврате через баунти и $280 миллионов по-настоящему вышедших за пределы досягаемости.

Цепочка публична. Кэш-аут — нет. Отмывание государственными акторами с маршрутами выхода через китайский OTC — это структурный предел on-chain криминалистики в 2026 году.

Для Bybit конкретно: резервы восстановлены, клиенты получили возмещение, операционный удар поглощён. Для отрасли: кейс Bybit — прецедент того, какая доля крупной кражи со стороны государственного актора реально возвращаема. Ответ, пятнадцать месяцев спустя — около 3%.

Скрините кошельки, которые остаются в зоне охвата. Те, что не в ней, — нет.