Разоблачение загадочных каперов микшеров монет и мостов между блокчейнами ️‍♂️💰

О, проделки миксерных машин! Как они кружат и скрывают украденные криптовалюты!

Представь себе, дорогой читатель: миксеры монет или ‘tumblers’ являются настоящими волшебными превращениями в мире криптовалют. Это подобно плащу невидимости для транзакций с криптовалютами. Хакеры с их хитрыми улыбками отправляют свои незаконно полученные средства на адрес миксера. Миксер, в свою очередь, выполняет танец смешивания криптовалюты с монетами от других пользователей, делая идентификацию каждого участника такой же неуловимой, как дымок. После этого процесса миксер перераспределяет монеты, фактически стирая все следы их сомнительного происхождения.

Возьмем для примера веселую компанию из десяти пользователей, каждый из которых вкладывает 1 эфир (ETH). Они дают и получают различный ETH, их личности теряются в путанице. Способность миксеров скрывать средства является обоюдоострым мечом: с одной стороны, это поле деятельности для хакеров, желающих скрыть украденное имущество; с другой — убежище для тех, кто ищет финансовую приватность, щит против любопытных взглядов. Независимо от моральной двусмысленности, миксеры остаются предпочтительным инструментом для тех, кто желает немного анонимности в своих криптовалютных операциях.

Хакеры со своим дьявольским мастерством часто сочетают криптомешинг с другими методами отмывания средств, такими как торговля на децентрализованных биржах (DEX), peel chains и криптовзаимодействии. Торговля на DEX представляет собой прямую обмен криптовалютами между пользователями без посредников. Peel chains же представляют серию мульти-кошельковых переводов, где хакеры отправляют меньшие суммы через каждый переход вместо одной большой и заметной суммы.

С решительной дерзостью группа Lazarus из Северной Кореи провела хитроумную операцию по краже и последующему запутыванию $1.46 миллиарда в криптовалюте всего через несколько дней после громкого взлома биржи Bybit. Используя миксеры монет и децентрализованный межцепочечный протокол THORChain, хакерская группировка успешно отмыла украденные средства спустя всего пару дней после инцидента. Это, дорогой читатель, не единичный случай побега. В 2024 году хакерам из Пхеньяна удалось похитить $800 миллионов в криптовалюте, направив добычу через сложный лабиринт миксеров криптовалют, промежуточных кошельков, DEX и межцепочечных мостов с мастерством профессионального вора.

Хакеры из Северной Кореи ответственны за кражи криптовалюты на сумму более $5 млрд с 2017 года, используя платформы вроде Ren Bridge и Avalanche Bridge. Часто они конвертировали средства в биткоин (BTC) перед использованием миксеров Tornadocash, Sinbad, YoMix, Wasabi Wallet и CryptoMixer​. Среди заметных краж криптоактивов группой Lazarus Group: WaizirX (июль 2024), State.com (сентябрь 2023), CoinsPaid и AlphaPo (июль 2023), Harmony Horizon Bridge (июнь 2022) и Ronin Bridge (март 2022).

Забавный факт: ходят слухи о том, что такие организации как Lazarus Group управляют своими собственными приватными миксерами. Для идентификации кошельков, связанных с этими миксерами, требуется внимательное наблюдение и определенная доля осторожности, поскольку существует риск ошибочного обвинения невинных людей, которые используют их по законным причинам или иным образом не причастны.

Кроссчейн-мосты: Великие Помощники Криптовывода 💰

Хакеры обнаружили притягательность межсетевых мостов, используя их для обеспечения верифицированной передачи данных между сетями, что способствует интероперабельности часто без присмотра централизованного посредника. По методике lock-mint, эти криптомосты сохраняют оригинальный токен в смарт-контракте и впоследствии выпускают соответствующую обернутую версию на целевой блокчейн.

Представьте себе перенос актива из Ethereum в Solana. Сначала актив отправляется на контракт моста в Ethereum, где он ‘блокируется’. Затем мост сообщает об активе сети Solana, которая создает его ‘обернутую’ версию, позволяя этому активу свободно перемещаться по сети Solana как если бы он там изначально принадлежал.

Чтобы отменить это магическое действие, обернутый актив «сжигается» на сети Солана. Затем мост уведомляет блокчейн Этериума об освобождении оригинального актива, обеспечивая баланс предложения в обеих сетях.

Хакеры, однако, эксплуатируют уязвимости в этих межцепочечных транзакциях. Они обнаруживают слабые места, которые позволяют создавать обернутые активы на целевой цепочке без соответствующего блокировки оригинальных активов на исходной цепочке. Также они могут манипулировать системой для разблокировки исходных активов без обязательного уничтожения обернутых версий. Это приводит к кражам средств без законного депозита. Давайте углубимся в детали их хитрых схем.

• Ложные события внесения депозитов: Одним из любимых трюков хакеров является инициирование ложных событий внесения депозитов. Криптомосты обычно внимательно следят за блокчейнами для подтверждения вкладов перед выпуском соответствующих токенов на другой цепочке. Хакерам удается обмануть систему, создавая фальшивые события внесения депозитов или используя бесполезные токены. Примером такой хитрости стал взлом Quibit, где хакеры использовали устаревшую функцию кода для создания ложных событий.
• Валидаторское захват: Еще один метод — это захват валидаторов, целью которого являются мосты, полагающиеся на консенсус валидаторов для утверждения транзакций. Если хакеры смогут захватить контроль над большинством валидаторов, они могут санкционировать вредоносные переводы. При взломе сети Ronin атакующие захватили пять из девяти валидаторов, что позволило им выводить средства без обнаружения.
• Фальшивые депозиты: хакеры могут использовать уязвимости в механизмах проверки депозита. Если они подделают депозит через процесс валидации, то могут вывести средства обманным путем. В результате взлома Wormhole были потеряны $320 млн из-за нарушения процесса проверки цифровых подписей.

Вы знали? Криптомосты часто уязвимы к атакам из-за некачественной разработки. В случае взлома Harmony Horizon Bridge легкость, с которой хакеры скомпрометировали две из пяти учетных записей валидаторов и получили доступ к средствам, подчеркивает эту слабую точку.

Руководство хакеров по отмыванию украденных средств

Хакеры используют мосты между блокчейнами для сокрытия источника средств, что повышает их анонимность. Они применяют эти мосты в процессе отмывания денег по триадной схеме: размещение, наслоение и интеграция.

Теперь давайте разберемся, как криптовалютные хакеры отмывают украденные средства.

• В фазе размещения мошенники вводят свои незаконные средства в финансовую систему. Они разбивают крупные суммы на меньшие транзакции для избежания подозрений. Эти средства затем используются для покупки криптовалют через посредников, что делает чрезвычайно сложным отслеживание их происхождения для правоохранительных органов.
• Слоение: хакеры участвуют в головокружительном вихре транзакций для того, чтобы скрыть источник своих средств. Некоторые биржи строго придерживаются мер по борьбе с отмыванием денег (AML), тогда как другие действуют с пиратским безрассудством. Хакеры извлекают выгоду из вторых, используя децентрализованные или слаборегулируемые платформы для перемещения средств между цепочками.
• Интеграция: В этом завершающем акте преступники вновь вводят отмытые средства в законную экономику. К этому моменту криптовалюта прошла через различные платформы и больше не связана напрямую с их злонамеренными деяниями. Преступники могут вывести средства наличными, использовать их для внешне законных операций или повторно вложить их в активы, такие как недвижимость.

Тривиальный факт: Отсутствие естественной совместимости между блокчейнами приводит к фрагментированным данным, что делает мониторинг активности между цепочками похожим на подвиг Геракла. Недостаток общей информации затрудняет комплексное отслеживание деятельности.

Лазаревская группа: роскошная отмывка экстраваганзы 💰

Лазарь в мастерском трюке использовал классические приемы отмывания денег вместе с современными DeFi и кроссчейн-обменами, создав один из самых сложных случаев отмывания средств в истории криптовалют. Расследователям удалось заморозить более 42 миллионов долларов, однако львиная доля средств уже испарилась или была конвертирована в фиат через подпольные каналы.

Общий объем украденных средств и распределение активов

Потери Bybit в результате взлома составили примерно 1,46 миллиарда долларов США. Украденные активы были преимущественно Эфиром и токенами на базе Ethereum, включая:

• 401,347 Эфириума (ETH): примерно на сумму 1,12 миллиарда долларов США
• 90 376 стейкерованных эфиров Lido (stETH): примерно $253 миллиона
• 15 000 cmETH (форма стейкед/пульного эфира): стоит около $44 миллионов
• 8 000 мЭТН (еще один завернутый производный от ЭТХ): стоимостью около $23 миллионов

В общей сложности было похищено около 401 000 Ether (ETH) и 90 000 стейков Lido Ethereum (stETH) (плюс меньшие производные токены ETH), которые хакеры быстро консолидировали и конвертировали. Согласно анализу Nansem, после взлома злоумышленники оперативно обменяли все не-ETF токены (stETH, cmETH, mETH) на простой ETH. Это дало хакерам контроль над ETH, родным активом, который сложно заморозить централизованно. Весь украденный объем был затем переведен в кошельки атакующих для отмывания средств.

Способы отмывания средств

Группа Лазарус развернула многослойную стратегию, чтобы скрыть и обналичить украденные 1.46 миллиарда долларов от Бибит. Их методы были следующими:

• Распределение средств: Сразу после взлома злоумышленники разделили 401,000 ETH на 50 кошельков для усложнения отслеживания, словно искать иголку в стоге сена. Эта тактика распределения средств (около $27 млн на каждый кошелек) направлена на затруднение процесса отслеживания путем рассеивания активов по разным адресам и сервисам. В течение следующего дня эти 50 кошельков были систематически опустошены, когда Lazarus начал перемещать ETH на дополнительные слои адресов.
• Обмен токенов через децентрализованные биржи (DEX): Они обменяли stETH, cmETH и mETH на ETH с помощью таких платформ, как UniSwap или Curve.
• Мостовые цепи: Они использовали Chainflip и THORChain для обмена ETH на BTC и перемещения средств между цепочками. Примерно 361 000 ETH (более $900 млн.) было преобразовано в BTC и распределено по 6 954 адресам Bitcoin (в среднем ~1,7 BTC на адрес), чтобы еще больше запутать ситуацию.

Over $75 million in Bybit hack proceeds were swapped through eXch within days​. Because eXch allows users to convert ETH into other cryptocurrencies, like BTC or even privacy coins such as Monero (XMR), with no traceable linkage, any funds passing through it often vanish into the ether.

• Платформы DeFi и DEX Launchpads: Запущеный Pump.fun launchpad/DEX на Solana непреднамеренно оказался вовлечен в операцию по отмыванию денег, когда хакеры использовали его для запуска токена QinShiHuang. Отсутствие у платформы превентивных фильтров позволило злоумышленникам создавать новые токены и связывать их с ликвидностью. Данный инновационный метод эффективно ‘смешал’ 26 миллионов долларов без использования традиционных миксеров. Когда схема была раскрыта, разработчики Pump.fun оперативно заблокировали этот токен на своем фронтенд-интерфейсе для предотвращения дальнейших сделок. В то время как другие платформы DeFi, такие как UniSwap и PancakeSwap, также способствовали обмену токенов, они не были замешаны в отмывании средств.
• OTC и P2P сети: Хотя они не упоминаются явно в публичных отчетах, есть серьезные подозрения о том, что нелегальные внебиржевые брокеры (OTC) и одноранговые торговые сети участвовали в окончательном переводе украденных средств на наличные. Исторически Lazarus полагался на китайские и российские OTC-дески для конвертации криптовалюты в фиатные деньги (например, продавая BTC за китайский юань наличными).

Fun Fact: Из украденных криптовалют биржи заморозили средства на сумму $42.8 млн, но северокорейский злоумышленник легализовал все похищенные 499,395 ETH, в первую очередь через THORChain.

Исследовательская магия: разгадывание межцепочечного криптомошенничества 💰

Для борьбы с мошенничеством при межсетевом обмене, включающем смешивание монет, следователи применяют комплексный подход и специализированные инструменты для отслеживания незаконных транзакций. Это отличается от традиционных поисковых инструментов, которые сосредоточены исключительно на аналитике в пределах одной цепи.

Рассмотрим такой сценарий: группа шпионажа вымогает средства в биткоинах и переводит их на эфир через кроссчейн мост. Вместо того чтобы вывести деньги сразу, они обменивают эти средства на монету для обеспечения приватности с помощью DEX. Традиционные инструменты требовали бы от правоохранительных органов вручную отслеживать каждый шаг, что приводило бы к задержкам и потенциальным ошибкам.

С помощью автоматического межсетевого отслеживания следователи могут отследить транзакции через единый интерфейс, определить использованную DEX и оперативно связаться с биржами. Это ускоряет процесс расследований и увеличивает шансы на возврат украденных активов.

Значимые особенности таких инструментов расследования кроссчейн, таких как предлагаемые Эллиптик и Чайналайзис:

• Обнаружение межцепочных прыжков: Это отмечает случаи, когда преступники переводят средства между блокчейнами для уклонения от обнаружения. Отображая эти транзакции, следователи могут поддерживать полное представление о пути отмывания средств.
• Атрибуция и идентификация сущностей: Способность связывать адреса с известными субъектами, например биржами или платформами DeFi, помогает правоохранительным органам определить, где могли быть обработаны украденные средства.
• Автоматизированная комиссия по расследованиям упрощает процесс, визуализируя связи между несколькими адресами через различные цепочки. Это позволяет следователям оперативно выявлять паттерны отмывания и отслеживать движение незаконных средств.
• ВАСП Директория Интеграция: В случаях, когда незаконные средства поступают на централизованные биржи (CEXs), интеграция с директорией поставщиков услуг виртуальных активов (ВАСП) позволяет следователям связываться с биржами, запрашивать информацию об аккаунте или замораживать активы до их полного отмывания.

Теперь давайте рассмотрим, как следователи пытаются захватить преступников с помощью таких инструментов. Несколько стратегий включают:

• Анализ блокчейна: Расследователи тщательно отслеживают движение средств через различные блокчейны, такие как Ethereum, BNB Smart Chain, Arbitrum и Polygon. Это включает анализ истории транзакций, выявление паттернов и построение карты перемещения активов между различными кошельками и биржами.
• Следуя денежному следу: Даже с учётом анонимности, предоставляемой миксерами и межцепочечными транзакциями, следователи стремятся проследить денежный след путём отслеживания средств до централизованных бирж (CEX), где они могут быть конвертированы в фиатные валюты. Зачастую это требует сотрудничества с международными правоохранительными органами для трассировки средств через границы.
• Мониторинг межцепочных мостов: Исследователи внимательно следят за транзакциями на мостах для выявления аномалий, таких как необычно крупные переводы или подозрительные паттерны. Они тщательно анализируют код смарт-контрактов мостов на наличие уязвимостей, которые могут быть использованы хакерами.
• Анализ данных на блокчейне и вне сети: Эксперты анализируют как данные в пределах цепочки (blockchain), так и вне цепочки (layer 2s, социальные медиа, форумы, dark web) для сбора информации о возможных мошенничествах. Это может включать мониторинг обсуждений об эксплойтах, уязвимостях и потенциальных схемах.
• Криминалистический анализ: при задержании подозреваемых эксперты криминалистики могут анализировать устройства на предмет криптовалютных кошельков, истории транзакций и других улик.

Примеры из реальной жизни: Крипто отмывание в действии 💰

Теперь давайте рассмотрим два реальных примера отмывания криптовалюты. Взлом DMM демонстрирует использование криптовалютных миксеров для скрытия источника средств, тогда как взлом XT.com показывает, как хакеры использовали криптомосты для отмывания средств.

DMM хак

Взлом биржи DMM в мае 2024 года показал, как хакеры используют различные методы скрытия для маскировки своих следов. В мае 2024 года японская криптовалютная биржа DMM столкнулась с колоссальным взломом, потеряв 4502 BTC на сумму $305 миллионов по тому курсу. Хакеры применили сложные методы отмывания средств, включая пеел-цепочки и миксеры монет, чтобы скрыть след транзакций.

Хакеры также манипулировали временем вывода средств для дополнительного затруднения анализа блокчейна. Они намеренно задерживали вывод средств, чтобы добавить еще один уровень запутывания и помешать попыткам следователей сопоставить депозиты и выводы по временным меткам.

Hack на XT.com

В ноябре 2024 года криптовалютная биржа XT.com стала жертвой взлома безопасности, что привело к потере $1,7 миллиона. Злоумышленники сначала нацелились на активы в сетях Optimism и Polygon, после чего воспользовались кроссчейновыми мостами для перевода украденных средств на Ethereum.

Эта тактика перемещения активов между несколькими блокчейнами эксплуатировала сложности в отслеживании средств на различных сетях, затрудняя тем самым усилия по расследованию. Такие межцепочечные маневры подчеркивают проблемы, с которыми сталкиваются команды безопасности при поиске и возврате незаконно полученных цифровых активов.

Дилемма регулятора: криптомикшеры под пристальным вниманием 💰️‍♀️

Криптомикшеры, предназначенные для сокрытия следов транзакций, стали объектом усиленного регулирования из-за их роли в отмывании незаконных средств. Управление по контролю за иностранными активами (OFAC) применило санкции к нескольким микшерам, связанным с киберпреступностью и угрозами национальной безопасности в США.

Blender.io вошел в историю как первый разрешенный миксер в 2022 году после отмывания $20.5 миллионов от взлома Axie Infinity. Несмотря на временное закрытие, он вновь появился под названием Sinbad.io, который был запрещен через год за помощь в отмывании денег во время громких взломов, включая Atomic Wallet и Horizon Bridge.

Торнадо Кэш, некастодиальный миксер на базе Эфириума, запущенный в 2019 году Алексеем Перцевым и Романом Штормом, был под санкциями Казначейства США в 2022 году. Однако суд отменил санкции своим решением от января 2022 года. Алексей Перцев получил пять лет и четыре месяца тюремного заключения за отмывание денег по решению голландских судей.

Управление по борьбе с финансовыми преступлениями (FinCEN) классифицирует миксеры как операторов денежного перевода, требуя соблюдения законов о ПОД/ФТ. Министерство юстиции США активно преследует нарушителей, в частности, применив санкции к Tornio Cash за отмывание более 7 миллиардов долларов. Несмотря на такие меры, постоянно развивающаяся природа криптовалютных миксеров продолжает вызывать сложности у регуляторов и правоохранительных органов по всему миру.

Группа разработки финансовых мер борьбы с отмыванием денег (FATF), межправительственная организация, занимающаяся предотвращением операций по отмыванию денежных средств, отметила использование миксеров как признак подозрительной активности. Европейский банковский надзор и Австралийский центр отчетности и анализа транзакций установили правила для требований к сообщениям о таких действиях. Совместная группа управления денежными потоками по борьбе с отмыванием денег (JMLSG), частный орган организаций финансового сектора, также выпускает рекомендации для своих членов по предотвращению отмывания денежных средств.

Однако при принуждении возникают препятствия в привлечении разработчиков к ответственности. Продолжаются юридические споры о том, следует ли возлагать на них ответственность, если они непосредственно не участвовали в отмывании средств после введения санкций.

Будущее приватности против безопасности в криптовалюте: поиск золотой середины 🌟💰

Крипто будет необходимо пройти по опасным водам между конфиденциальностью и безопасностью. Технологии вроде доказательств с нулевым знанием (ZK) позволят пользователям совершать транзакции в приватном режиме без ущерба для целостности блокчейна, но при этом они должны соответствовать более строгим правилам AML для обеспечения соответствия нормам и сохранения анонимности пользователей.

В то время как защитники приватности отстаивают финансовую суверенность и защиту от надзора, сторонники безопасности подчеркивают необходимость прозрачности и соблюдения нормативных требований для поддержания целостности рынка.

Достижение этого тонкого баланса вероятно произойдет благодаря технологическому прогрессу, такому как доказательства нулевого знания (ZK-proofs), дифференциальная приватность и федеративное обучение, которые могут предложить потенциальные решения для улучшения приватности без ущерба безопасности. В то же время правительства будут продолжать разрабатывать регуляторные рамки, стремящиеся найти компромиссное решение, возможно через многоуровневые подходы, предлагающие различные уровни приватности.

В конечном итоге, путь вперед требует сотрудничества между разработчиками, регуляторами и пользователями для создания устойчивой экосистемы, которая обеспечивает защиту личной приватности, одновременно предотвращая незаконные действия и способствуя укреплению доверия.