Автор Chao Cheng Zedong тема Новости

Криптовалютные миксеры и межсетевые мосты: как хакеры отмывают украденные активы

Криптовалютные миксеры и межсетевые мосты: как хакеры отмывают украденные активы

Что такое криптовалютные миксеры и как их используют в крупных хакерских атаках?

Криптовалютные миксеры, или "подмешиватели", — это, по сути, смарт-контракты, используемые для скрытия происхождения криптовалютных транзакций. Хакеры отправляют свою криптовалюту на адрес миксера, который смешивает ее с монетами других пользователей, скрывая личность каждого участника. Затем миксер перераспределяет монеты, что эффективно маскирует их изначальный источник.

Например, если 10 пользователей замешивают по 1 Эфиру (ETH), они каждый вносят и получают разные ETH. Способность миксеров скрывать средства имеет двойную природу: хакеры используют их для сокрытия украденных средств, в то время как другие повышают свою финансовую конфиденциальность для защиты от слежки. Несмотря на спорное использование, миксеры остаются инструментом для тех, кто стремится к большей анонимности в криптовалюте.

Хакеры часто комбинируют криптовалютные миксеры с другими методами отмывания средств, такими как торговля на децентрализованных биржах (DEX), схемы дробления и криптомосты. Торговля на DEX предполагает прямой обмен криптовалютами между пользователями на DEX без необходимости в центральной авторитетности. Схема дробления — это тип многокошельковой передачи, где хакеры отправляют все меньшие суммы через каждую трансакцию вместо крупных сумм.

Принцип работы криптовалютных миксеров

В дерзкой демонстрации своих сложных способностей отмывания средств, группа Лазарус из Северной Кореи провела сложнейшую операцию по краже и затем сокрытию $1,46 миллиарда в криптовалюте через несколько дней после крупной хакерской атаки на Bybit. 

Используя криптовалютные миксеры и децентрализованный межсетевой протокол THORChain, группа Лазарус из Северной Кореи отмыла украденные средства всего через несколько дней после атаки. 

Это происшествие не является единичным случаем. Только в 2024 году хакеры из Пхеньяна, как сообщается, украли $800 миллионов в криптовалюте. Украденные средства были быстро проведены через криптовалютные миксеры, промежуточные кошельки, DEX и межсетевые мосты с использованием продвинутых методов отмывания.

Хакеры из Северной Кореи несут ответственность за кражу более $5 миллиардов в криптовалюте с 2017 года, используя платформы, такие как Ren Bridge и Avalanche Bridge, часто конвертируя средства в Биткойн (BTC) перед использованием миксеров, таких как Tornado Cash, Sinbad, YoMix, Wasabi Wallet и CryptoMixer​. 

Значительные хакерские атаки группы Лазарус включают WazirX (июль 2024), State.com (сентябрь 2023), CoinsPaid и Alphapo (июль 2023), Harmony Horizon Bridge (июнь 2022) и Ronin Bridge (март 2022), среди прочих.

Знаменитые кражи крипты группой Лазарус

Знали ли вы? Подозревается, что мошеннические организации, как группа Лазарус, управляют частными миксерами. Присвоение кошельков этим миксерам требует осторожности, поскольку несет значительные риски ошибочной идентификации лиц, которые используют их для легальной конфиденциальности или не вовлечены в противоправные действия.

Что такое межсетевые мосты, и почему хакеры используют их для отмывания украденных средств?

Хакеры используют межсетевые мосты для облегчения подтвержденной передачи данных между сетями, обеспечивая интероперабельность, часто без участия центрального посредника. Через методику блокировки и выпуска токенов, эти криптомосты обеспечивают оригинальный токен в смарт-контракте и затем выпускают соответствующую "обернутую" версию на целевой блокчейн.

Например, при передаче актива из Ethereum в Solana, актив сначала отправляется в контракт моста на Ethereum, где он "блокируется". Затем мост уведомляет Solana, которая создает “обернутую” версию актива, позволяя ему функционировать в сети Solana как местная монета.

Чтобы обратить процесс, обернутый актив “сжигается” на Solana. Мост затем уведомляет блокчейн Ethereum, чтобы разблокировать оригинальный актив, поддерживая баланс предложения на обеих цепях.

Хакеры используют уязвимости в этих трансакциях мостов. Они обнаруживают слабые стороны, позволяющие создавать обернутые активы на целевой цепи без соответствующей блокировки оригинальных активов на исходной цепи. 

Также они могут манипулировать системой для разблокировки оригинальных активов без необходимого сжигания обернутых версий. Это позволяет красть средства без законного депозита. Вот как это работает:

  • Ложные события депозитов: Частая тактика хакеров — инициирование ложных событий депозитов. Криптомосты обычно отслеживают блокчейны на предмет подтверждений депозитов перед выпуском соответствующих токенов на другой цепи. Хакеры обманывают систему, создавая фиктивные события депозитов или используя дешевые токены. Пример такой атаки — взлом Qubit, где хакеры создали фиктивные события депозитов, используя устаревшую функцию в коде.
  • Захват валидатора: Другой метод — захват валидатора, который нацелен на мосты, полагающиеся на консенсус валидаторов для утверждения трансакций. Если хакеры захватывают контроль над большинством валидаторов, они могут одобрить вредоносные переводы. Во взломе Ronin Network атакующие завладели пятью из девяти валидаторов, что позволило им переместить средства незамеченными.
  • Фальшивые депозиты: Хакеры могут использовать уязвимости в механизмах проверки депозитов. Если они могут инсценировать депозит через процесс верификации, они могут вывести средства мошенническим образом. Потеря $320 миллионов во взломе Wormhole стала результатом недостатков в процессе проверки цифровой подписи.
Ежемесячные объемы трансакций через цепи с января 2021 по октябрь 2024

Знали ли вы? Криптомосты часто подвержены атакам из-за недостаточного проектирования. Во взломе Harmony Horizon Bridge, легкость, с которой хакеры скомпрометировали два из пяти учетных записей валидаторов и получили доступ к средствам, подчеркивает эту уязвимость.

Книга игр хакеров: типичный процесс отмывания украденных средств

Хакеры используют криптомосты, чтобы скрыть происхождение средств, тем самым повышая анонимность. Хакеры используют криптомосты для отмывания денег на трех ключевых этапах: размещение, наслоение и интеграция. 

Вот краткое описание, как криптохакеры отмывают украденные средства:

  • Размещение: На этапе размещения преступники вводят незаконные средства в финансовую систему. Они разбивают большие суммы на более мелкие трансакции, чтобы избежать обнаружения. Затем они используют эти средства для покупки криптовалют, чаще всего через посредников, что усложняет правоохранительным органам отслеживание их происхождения.
  • Наслоение: Хакеры перемещают средства через множество трансакций, чтобы скрыть их источник. Некоторые биржи применяют строгие меры против отмывания денег (AML), в то время как другие работают с минимальным надзором. Хакеры пользуются последними, используя децентрализованные или слаборегулируемые платформы для перемещения средств через цепи.
  • Интеграция: На этом этапе преступники повторно вводят отмытые средства в легальную экономику. На этот момент криптовалюта уже прошла через различные платформы и более не связана напрямую с преступной деятельностью. Преступники могут обналичить через фиатные отводы, использовать их для якобы законных транзакций или инвестировать в активы, такие как недвижимость. 

Знали ли вы? Внутренняя нехватка интероперабельности между блокчейнами создает фрагментированные данные, затрудняя мониторинг кросссетевой активности. Эта нехватка общей информации мешает всестороннему отслеживанию деятельности.

Как группа Лазарус отмыла украденную криптовалюту из Bybit?

Лазарус объединила классические методы отмывания денег с современными DeFi и межсетевыми свапами, сделав это одним из самых сложных случаев отмывания в истории криптовалют. Следователям удалось заморозить более $42 миллионов, но большая часть средств уже была спрятана или конвертирована в фиат через подпольные каналы.

Общая сумма украденного и распределение активов

Потери Bybit в результате взлома составили примерно $1,46 миллиарда. Украденные активы были преимущественно Эфир и токены на базе Ethereum, включая:

  • 401,347 Эфира (ETH): стоимостью примерно $1,12 миллиарда​
  • 90,376 Lido Staked Ether (stETH): стоимостью ~$253 миллиона
  • 15,000 cmETH (форма стейкинга/пулинга ETH): стоимостью ~$44 миллиона
  • 8,000 mETH (еще одна обертка ETH): стоимостью ~$23 миллиона​

Всего около 401,000 Эфира (ETH) и 90,000 Lido Staked Ether (stETH) (плюс меньшие токены-производные ETH) были украдены, которые хакеры сразу же консолидировали и конвертировали. По данным из анализа Nansen, злоумышленники вскоре после взлома обменяли все не-ETH токены (stETH, cmETH, mETH) на обычный ETH​. Это дало хакерам полный контроль над ETH, родным активом, который не может быть легко заморожен никаким центральным эмитентом​. Вся добыча затем была направлена в кошельки злоумышленников для отмывания.

Использованные методы отмывания

Лазарус использовала многоуровневую стратегию для сокрытия и обналичивания $1,46 миллиарда, украденных у Bybit. Их методы включали:

  • Деление и рассредоточение средств: Сразу после взлома они раздробили 401,000 ETH на 50 кошельков, чтобы усложнить отслеживание. Эта тактика распределения средств (примерно $27 миллионов на кошелек) направлена на усложнение отслеживания путем разбавления ловушки. В течение следующего дня эти 50 кошельков были систематически опустошены, поскольку Лазарус начал перемещение ETH на дальнейшие уровни адресов и сервисов.
  • Обмен токенов через DEX: Они конвертировали stETH, cmETH и mETH в ETH, используя DEX (вероятно, используя платформы, такие как Uniswap или Curve).
  • Межсетевые мосты: Они использовали Chainflip и THORChain для обмена ETH на BTC и перемещения средств через сети. Примерно 361,000 ETH (более $900 миллионов) были конвертированы в BTC и распределены по 6,954 биткойн-адресам (в среднем ~ 1,7 BTC на адрес), чтобы дополнительно усложнить отслеживание.
  • Миксеры и обменники без верификации: Они использовали альтернативы Tornado Cash, службы обмена без Know Your Customer (KYC), такие как eXch, и обмены на блокчейне для скрытия транзакций. Elliptic идентифицировала eXch как "основного и готового содействие" в этой операции по отмыванию: более $75 миллионов из доходов от хакерской атаки на Bybit были обменяны через eXch в течение нескольких дней​. Поскольку eXch позволяет пользователям конвертировать ETH в другие криптовалюты, такие как BTC или даже монеты конфиденциальности, такие как Monero (XMR), без отслеживаемой связи, любые средства, проходящие через него, часто исчезают.
  • DeFi платформы и DEX-стартапы: Launchpad/DEX Pump.fun на Solana непредсказуемо оказался вовлечен в операцию по отмыванию, когда хакеры использовали его для запуска токена QinShihuang. Отсутствие на платформе превентивных фильтров позволило хакерам создавать токены и связывать их с ликвидностью. Эта изобретательная техника эффективно "смешала" $26 миллионов без использования традиционного миксера. Как только схема была обнаружена, разработчики Pump.fun быстро вмешались, заблокировав токен на своем интерфейсе UI, чтобы остановить дальнейшие торговли. Хотя другие платформы DeFi, такие как Uniswap и PancakeSwap, также содействовали обмену токенами, они не принимали участие в отмывании.
  • OTC и P2P-сети: Хотя в публичных отчетах они не упоминаются, сильно подозревается участие нерегулируемых овердеесковых и равноправных (P2P) торговых сетей в конечной конвертации украденных средств в наличные. Лазарус исторически опирался на китайские и российские OTC-доски для конвертации криптовалюты в фиат (например, продажа BTC за китайские юани наличными)​.

Знали ли вы? Из украденной крипты биржи заморозили средства на сумму $42,8 миллиона, но северокорейский злоумышленник отмыл все украденные 499,395 ETH, в основном через THORChain.

Как следователи раскрывают кросссетевые крипто-мошенничества?

Для расследования кросссетевого мошенничества, связанного с микшированием монет, следователи используют целостный подход и специализированные инструменты для отслеживания незаконных транзакций. Это отличается от устаревших обозревателей, фокусирующихся только на аналитике одной цепи. 

Следующий пример поможет вам понять, как инструменты для расследования кросссетевого крипто-мошенничества помогают следователям. Предположим, группа шпионского ПО вымогает средства в биткойнах и переводит их в Ethereum через межсетевой мост. Вместо того чтобы обналичить, они обменивают средства на монету конфиденциальности, используя DEX. Традиционные инструменты требуют от правоохранительных органов вручную отслеживать каждый шаг, что приводит к задержкам и ошибкам. 

С автоматическим кросссетевым отслеживанием следователи могут отслеживать транзакции в одном интерфейсе, быстро идентифицировать использованный DEX и связываться с биржами. Это ускоряет расследования и повышает шансы на возврат украденных активов. 

Основные особенности таких кросссетевых инструментов расследования, таких как те, что предлагаются Elliptic и Chainalysis:

  • Обнаружение кросссетевого перескока: Отмечает случаи, когда преступники переводят средства между блокчейнами, чтобы избежать обнаружения. Составляя карту этих транзакций, следователи могут поддерживать полную картину пути отмывания.
  • Идентификация атрибуции и сущностей: Возможность связывать адреса с известными сущностями, такими как биржи или DeFi-платформы, поможет правоохранительным органам определить, где могли быть обработаны украденные средства.
  • Автоматическая доска расследований: Автоматическая доска расследований упрощает процесс визуализации связей между несколькими адресами в разных цепях. Это позволяет следователям быстро выявить схемы отмывания и отслеживать движение незаконных средств.
  • Интеграция каталога поставщиков виртуальных активов (VASP): В случаях, когда незаконные средства достигают централизованных бирж (CEX), интеграция каталога поставщиков виртуальных активов (VASPs) позволяет следователям связываться с биржами, запрашивать информацию об учетной записи или замораживать активы до того, как они будут полностью отмыты.

Теперь давайте узнаем, как следователи пытаются поймать преступников, используя такие инструменты. Несколько способов, которые они используют, включают:

  • Анализ блокчейна: Следователи тщательно отслеживают поток средств через различные блокчейны, такие как Ethereum, BNB Smart Chain, Arbitrum и Polygon. Это включает в себя анализ истории транзакций, выявление шаблонов и картирование движения активов через различные кошельки и биржи.
  • Отслеживание пути денег: Даже с анонимностью, предоставляемой микшерами и кросссетовыми транзакциями, следователи пытаются отслеживать путь денег, прослеженными до CEX, где они могут быть конвертированы в фиатную валюту. Это часто включает работу с международными правоохранительными агентствами для отслеживания средств через границы.
  • Мониторинг мостов кросссетей: Следователи контролируют транзакции мостов на предмет аномалий, таких как необычно крупные переводы или подозрительные шаблоны. Они изучают код смарт-контрактов мостов на наличие уязвимостей, которые могут быть использованы злоумышленниками.
  • Анализ данных на цепи и вне цепи: Следователи анализируют как данные на цепи (блокчейн), так и вне цепи (вторые слои, социальные сети, форумы, даркнет) для сбора разведывательной информации о потенциальных мошенничествах. Это может включать мониторинг обсуждений об эксплойтах, уязвимостях и потенциаторных схемах.
  • Форензный анализ: Когда устройства изымаются у подозреваемых, форензные группы могут анализировать устройства на наличие криптокошельков, истории транзакций и других улик.

Другие реальные случаи отмывания криптовалюты

Вот два реальных примера отмывания криптовалюты. Взлом DMM демонстрирует использование криптомиксеров для скрытия происхождения средств, в то время как взлом XT.com показывает, как хакеры использовали криптомосты для отмывания средств.

Взлом DMM

Взлом DMM в мае 2024 года демонстрирует как хакеры используют разнообразные приемы обфускации, чтобы замаскировать свое деяние. В мае 2024 года японская криптобиржа DMM подверглась массивному взлому, потеряв 4,502 BTC, что соответствовало $305 миллионам на то время. Хакеры использовали сложные методы отмывания, включая схемы дробления и криптомиксеры, чтобы спрятать следы транзакций. 

Хакеры также манипулировали временем вывода средств, чтобы еще больше затруднить анализ блокчейна. Они намеренно задерживали выводы, чтобы добавить еще один слой сокрытия, усложняя попытки следователей сопоставить депозиты и выводы по их временным меткам.

Путь отмывания взлома DMM

Взлом XT.com

В ноябре 2024 года криптобиржа XT.com подверглась атаке безопасности, в результате которой было потеряно $1.7 миллиона. Нападавшие изначально нацелились на активы в сетях Optimism и Polygon, а затем использовали межсетевые мосты для передачи украденных средств на Ethereum. 

Эта тактика перемещения активов через несколько блокчейнов использовала сложности, присущие отслеживанию средств через разные сети, тем самым затрудняя работу следственных органов. Такие межсетевые маневры подчеркивают проблемы, с которыми сталкиваются команды безопасности при отслеживании и возврате незаконно полученных цифровых активов.

Хакеры XT.com использовали мосты для отмывания средств

Регуляторные вызовы и усилия правоохранительных органов в отношении криптомиксеров

Криптомиксеры, разработанные для сокрытия путей транзакций, все чаще привлекают внимание регуляторов из-за своей роли в отмывании незаконных средств. Управление по контролю за иностранными активами (OFAC) санкционировало несколько миксеров, связанных с киберпреступлениями и угрозами национальной безопасности в США. 

Blender.io стал первым в истории санкционированным миксером в 2022 году после отмывания $20,5 миллиона из взлома Axie Infinity. Несмотря на его закрытие, он возродился как Sinbad.io, который был санкционирован в течение года за пособничество отмыванию средств в крупных взломах, включая взломы Atomic Wallet и Horizon Bridge.

Tornado Cash, некардеровый миксер на Ethereum, запущенный в 2019 году Алексеем Перцевым и Романом Штормом, был санкционирован Министерством финансов США в 2022 году. Однако санкции были отменены судом в январе 2022 года. Перцев был приговорен к пяти годам и четырем месяцам тюрьмы за отмывание денег нидерландскими судьями. 

Сеть по борьбе с финансовыми преступлениями (FinCEN) классифицирует миксеры как денежные переводчики, требуя соблюдения законов против отмывания денег. Министерство юстиции США агрессивно преследует нарушителей в суде, особенно санкционируя Tornado Cash за отмывание более $7 миллиардов. Но несмотря на такие меры, развивающаяся природа криптомиксеров продолжает быть вызовом для регуляторов и правоохранительных органов по всему миру.

Финансовая группа действий по борьбе с отмыванием денег, межправительственный орган для сдерживания отмывания денег, обозначила использование миксеров как тревожный сигнал для незаконной деятельности. Европейская банковская администрация и Австралийский центр отчетности и анализа транзакций установили правила отчетности. Совместная группа по борьбе с отмыванием денег, частный орган из организаций финансового сектора, также издает рекомендации для участников по предотвращению отмывания денег.

Тем не менее, исполнение сталкивается с проблемами в привлечении разработчиков к ответственности. Юридические споры продолжаются о том, должны ли разработчики нести ответственность, если они не помогали непосредственно в отмывании после санкционирования.

Будущее конфиденциальности против безопасности в криптовалюте

Криптовалюта должна будет найти тонкий баланс между конфиденциальностью и безопасностью. В то время как технологии, такие как доказательства с нулевым разглашением (ZK), позволят пользователям проводить транзакции в частном порядке, не компрометируя целостность блокчейна, они также должны будут соответствовать более строгим правилам борьбы с отмыванием денег, чтобы гарантировать соблюдение норм при сохранении анонимности пользователей.

В то время как сторонники конфиденциальности отстаивают финансовый суверенитет и защиту от надзора, сторонники безопасности акцентируют внимание на необходимости прозрачности и соблюдении нормативных требований для поддержания целостности рынка. 

Это напряжение, вероятно, будет решено с помощью технологических достижений, таких как доказательства ZK, дифференциальная конфиденциальность и федеративное обучение, которые предлагают потенциальные решения для повышения конфиденциальности без компромисса безопасности. Также правительства продолжат разрабатывать нормативные рамки, которые стремятся к достижению баланса, потенциально через поэтапные подходы, предлагающие различные уровни конфиденциальности. 

В конечном итоге, путь вперед требует сотрудничества между разработчиками, регуляторами и пользователями для создания устойчивой экосистемы, которая защищает личную конфиденциальность, предотвращая незаконную деятельность и поддерживая доверие.