Криптомиксеры и кроссчейн- мосты: как хакеры отмывают украденные активы

Криптомиксеры, или миксеры, по сути, являются смарт-контрактами, используемыми для сокрытия источника криптотранзакций. Хакеры отправляют свою криптовалюту на адрес миксера. Миксер смешивает криптовалюту с монетами, отправленными другими пользователями, тем самым скрывая личность каждого участника. Впоследствии миксер перераспределяет монеты, эффективно скрывая их первоначальный источник.

Например, если 10 пользователей смешают по 1 Эфиру, каждый из них вносит и получает разные ETH. Способность миксеров скрывать средства имеет двойственную природу: хакеры используют их, чтобы скрыть украденные средства, в то время как другие повышают финансовую конфиденциальность, защищая от наблюдения. Несмотря на их спорное использование, миксеры остаются инструментом для тех, кто ищет большую криптоанонимность

Хакеры часто сочетают криптомикширование с другими методами отмывания денег, среди которых торговля на децентрализованной бирже (DEX), Peel Chains и Crypto Bridging. Торговля на DEX подразумевает прямой обмен криптовалютами между пользователями на DEX, что устраняет необходимость в центральном органе. Peel Chain — это тип перевода между несколькими кошельками, при котором хакеры отправляют все меньшие суммы через каждый переход вместо больших сумм.

Демонстрируя наглые возможности отмывания денег, северокорейская Lazarus Group провела сложную операцию по краже и последующему сокрытию 1,46 млрд долларов в криптовалюте всего через несколько дней после нашумевшего взлома Bybit. Используя миксеры монет и децентрализованный кроссчейн- протокол THORChain, северокорейская группа Lazarus отмыла украденные средства всего через несколько дней после взлома. Этот инцидент не единичный случай. Только в 2024 году хакеры из Пхеньяна, как сообщается, украли $800 млн в криптовалюте. Украденные средства быстро направлялись через криптомиксеры, промежуточные кошельки, DEX и кроссчейн-мосты с использованием передовых методов отмывания.

С 2017 года северокорейские хакеры украли более 5 миллиардов долларов криптовалюты, используя такие платформы, как Ren Bridge и Avalanche Bridge, часто конвертируя средства в биткоины прежде чем использовать миксеры Tornado Cash, Sinbad, YoMix, Wasabi Wallet и CryptoMixer. Среди известных крипто-взломов Lazarus Group можно отметить WazirX (июль 2024 г.), State.com (сентябрь 2023 г.), CoinsPaid и Alphapo (июль 2023 г.), Harmony Horizon Bridge (июнь 2022 г.) и Ronin Bridge (март 2022 г.) и другие.

На заметку: Мошеннические организации формата Lazarus Group, подозреваются в управлении частными миксерами. Приписывание кошельков этим миксерам требует тщательного рассмотрения, поскольку это несет в себе значительный риск ошибочной идентификации лиц, которые используют их для законной конфиденциальности или иным образом не вовлечены.

Хакеры используют кроссчейн- мосты для облегчения проверяемых передач данных по сетям, тем самым обеспечивая взаимодействие, часто без зависимости от централизованного посредника. Благодаря методологии lock-mint эти криптомосты защищают исходный токен в смарт-контракте и впоследствии выпускают соответствующую обернутую версию на целевом блокчейне .

Например, при переводе актива из Ethereum в Solana, актив сначала отправляется на мостовой контракт на Ethereum , где он «блокируется». Затем мост уведомляет Solana, которая создает «обернутую» версию актива, позволяя ему функционировать в сети Solana как нативная монета.

Чтобы обратить процесс вспять, упакованный актив «сжигается» на Solana. Затем мост уведомляет Ethereum блокчейн для разблокировки исходного актива, поддерживая баланс поставок в обоих блокчейнах.

Хакеры используют уязвимости в этих мостовых транзакциях. Они выявляют слабые места, которые позволяют создавать обёрнутые активы в целевом блокчейне без соответствующей блокировки исходных активов в исходном блокчейне.

Они также могут манипулировать системой, чтобы разблокировать оригинальные активы без обязательного сжигания обернутых версий. Это позволяет украсть средства без законного депозита. Вот как это работает:

• Ложный факт депозита: Распространенная тактика, используемая хакерами, — это ложный факт депозита. Крипто-мосты обычно отслеживают блокчейны на предмет подтверждений депозита перед выпуском соответствующих токенов в другой цепочке. Хакеры обманывают систему, создавая поддельные события депозита или используя бесполезные токены. Примером такой атаки является взлом Qubit, где хакеры создавали ложные события депозита, используя устаревшую функцию в коде.
• Захват валидатора: Другой метод — захват валидатора, который нацелен на мосты, полагающиеся на консенсус валидатора для одобрения транзакций. Если хакеры получат контроль над большинством валидаторов, они смогут авторизовать вредоносные переводы. При взломе Ronin Network злоумышленники захватили пять из девяти валидаторов, что позволило им перемещать средства незамеченными.
• Поддельные депозиты: Хакеры могут использовать уязвимости в механизмах проверки депозитов. Если им удастся подделать депозит через процесс проверки, они смогут снять средства мошенническим путем. Убыток в размере 320 миллионов долларов в результате атаки Wormhole произошел из-за недостатка процесса проверки цифровой подписи.

Ежемесячный объем транзакций, проведенных по цепочкам в период с января 2021 г. по октябрь 2024 г.

На заметку: Часто криптомосты подвержены атакам из-за неадекватной разработки. При взломе моста Harmony Horizon легкость, с которой хакеры скомпрометировали два из пяти аккаунтов валидаторов, получив доступ к средствам, подчеркивает эту уязвимость.

Хакеры используют криптомосты, чтобы скрыть происхождение средств, тем самым увеличивая анонимность. Хакеры используют криптомосты для отмывания денег на трех ключевых этапах: размещение, наслоение и интеграция.

Вот краткое описание того, как криптохакеры отмывают украденные средства:

• Размещение: На этапе размещения преступники вводят незаконные средства в финансовую систему. Они разбивают большие суммы на более мелкие транзакции, чтобы избежать обнаружения. Затем они используют эти средства для покупки криптовалют, чаще всего через посредников, что затрудняет отслеживание их происхождения правоохранительными органами.
• Наслоение: хакеры перемещают средства через несколько транзакций, чтобы скрыть их источник. Некоторые биржи применяют строгие меры по борьбе с отмыванием денег (AML), в то время как другие работают с небольшим контролем. Хакеры пользуются последним, используя децентрализованные или слабо регулируемые платформы для перемещения средств по блокчейнам.
• Интеграция: На этом этапе преступники возвращают отмытые средства в законную экономику. К этому времени криптовалюта прошла цикл по разным платформам и больше не связана напрямую с преступной деятельностью. Преступники могут обналичивать средства через фиатные терминалы, использовать их для, казалось бы, законных транзакций или реинвестировать в активы, такие как недвижимость.

На  заметку: Присущее отсутствие взаимодействия между блокчейнами создает фрагментированные данные, что затрудняет мониторинг активности в кроссчейнах. Отсутствие общей информации затрудняет комплексное отслеживание активности.

Лазарус объединил классические приемы отмывания денег с современными DeFi и кроссчейн-обмениками, сделав такое отмывание одним из самых сложных в истории криптовалют. Следователям удалось заморозить более 42 миллионов долларов, но большая часть средств уже спрятана или конвертирована в фиат через подпольные каналы.

Общая сумма украденного и разбивка активов

Потери Bybit в результате взлома составили около $1,46 млрд. Украденные активы в основном представляли собой токены на основе Ether и Ethereum блокчейна, в том числе:

• 401 347 Ether (ETH): стоимостью около 1,12 млрд долларов США
• 90 376 Lido Staked Ether (stETH ): стоимостью ~253 миллиона долларов
• 15 000 cmETH (форма стейкинга/пула ETH): стоимостью ~44 миллиона долларов США
• 8000 mETH (еще один дериватив ETH): стоимостью ~23 миллиона долларов

Всего около 401 000 Эфира и 90 000 эфиров Lido Staked (плюс более мелкие производные токены ETH), которые хакеры немедленно объединили и конвертировали. Согласно анализу Нансена, злоумышленники обменяли все не-ETH токены (stETH, cmETH, mETH) на простые ETH вскоре после взлома. Это дало хакерам полный контроль над ETH, нативным активом, который не может быть легко заморожен ни одним центральным эмитентом. Затем вся добыча была направлена в кошельки злоумышленников для отмывания.

Методы отмывания Lazarus Group

Lazarus Group использовала многоуровневую стратегию, чтобы скрыть и обналичить $1,46 млрд, украденных из Bybit. Их методы включали:

• Разделение и распределение средств: Сразу после взлома они разделили 401 000 ETH на 50 кошельков, чтобы затруднить отслеживание. Эта тактика распределения средств (примерно 27 миллионов долларов на кошелек) предназначена для усложнения отслеживания путем разбавления honeypot. В течение следующего дня эти 50 кошельков были систематически опустошены, поскольку Lazarus начал перемещать ETH на более высокие уровни адресов и сервисов.
• Обмен токенов через DEX: они конвертировали stETH, cmETH и mETH в ETH с помощью DEX (вероятно, с использованием таких платформ, как Uniswap или Curve).
• Кроссчейн-мосты: они использовали Chainflip и THORChain для обмена ETH на BTC и перемещения средств между цепочками. Около 361 000 ETH (более 900 миллионов долларов) были конвертированы в BTC и распределены по 6954 биткойн-адресам (в среднем ~1,7 BTC на адрес), чтобы еще больше проложить путь.
• Миксеры и биржи без KYC: они использовали альтернативы Tornado Cash, сервисы обмена без KYC формата eXch, и обмены монет на блокчейне для сокрытия транзакций. Elliptic определила eXch как «крупного и добровольного посредника» в этой операции по отмыванию: более 75 миллионов долларов из доходов от взлома Bybit были обменены через eXch в течение нескольких дней. Поскольку eXch позволяет пользователям конвертировать ETH в другие криптовалюты, такие как BTC или даже конфиденциальные монеты формата Monero, поскольку не существует отслеживаемой связи, любые средства, проходящие через него, часто остаются необнаруженными.
• Платформы DeFi и стартовые площадки DEX : The Pump.fun launchpad /DEX на Solana непреднамеренно оказался вовлечён в операцию по отмыванию денег, когда хакеры использовали его для запуска токена QinShihuang. Отсутствие на платформе превентивных фильтров позволило хакерам создавать токены и связывать их с ликвидностью. Этот креативный приём эффективно «смешал» 26 миллионов долларов без использования традиционного миксера. Как только схема была обнаружена, разработчики Pump.fun быстро вмешались, заблокировав токен в своём интерфейсе пользователя, чтобы остановить дальнейшие сделки. Хотя другие платформы DeFi формата Uniswap и PancakeSwap, также способствовали обмену токенов, они не были замешаны в отмывании.
• Внебиржевые и P2P-сети: Хотя в публичных отчетах это явно не упоминается, есть серьезные подозрения, что нерегулируемые внебиржевые (OTC) брокеры и одноранговые (P2P) торговые сети были вовлечены в окончательную конвертацию этих украденных средств в наличные. Lazarus исторически полагался на китайские и российские внебиржевые торговые площадки для конвертации криптовалют в фиат (например, продавая BTC за китайские юани наличными).

На  заметку: Из украденной криптовалюты биржи заморозили средства на сумму 42,8 млн долларов, но северокорейский злоумышленник отмыл все украденные 499 395 ETH, в основном через THORChain.

Для борьбы с кроссчейн- мошенничеством, связанным со смешиванием монет, следователи применяют целостный подход и используют специализированные инструменты для отслеживания незаконных транзакций. Это отличается от традиционных обозревателей, которые фокусируются только на аналитике одного блокчейна.

Следующий пример поможет вам понять, как инструменты кроссчейн криптомошенничества помогают следователям. Предположим, что группа шпионских программ вымогает средства в Bitcoin и переводит их в Ethereum через кроссчейн мост. Вместо того чтобы обналичить, они обменивают средства на конфиденциальную монету с помощью DEX. Традиционные инструменты требуют, чтобы правоохранительные органы вручную отслеживали каждый шаг, что приводит к задержкам и ошибкам.

Благодаря автоматизированному кроссчейн- отслеживанию следователи могут отслеживать транзакции в одном интерфейсе, определять используемые DEX и быстро связываться с биржами. Это ускоряет расследования и повышает шансы на возвращение украденных активов.

Примечательные особенности инструментов кросс-чейн -расследований, предлагаемые Elliptic и Chainalysis:

• Быстрая смена кросс-чейн мостов: он отмечает случаи, когда преступники переводят средства между блокчейнами , чтобы избежать обнаружения. Картографируя эти транзакции, следователи могут сохранять полное представление о следе отмывания.
• Атрибуция и идентификация субъекта: возможность связывать адреса с известными субъектами, такими как биржи или платформы DeFi, помогает правоохранительным органам определять, где могли обрабатываться украденные средства.
• Автоматизированная следственная доска: Автоматизированная следственная доска упрощает процесс, визуализируя связи между несколькими адресами в разных цепочках. Это позволяет следователям быстро выявлять схемы отмывания денег и отслеживать движение незаконных средств.
• Интеграция каталогов VASP: в случаях, когда незаконные средства попадают на централизованные биржи (CEX), интеграция каталогов поставщиков услуг виртуальных активов (VASP) позволяет следователям связываться с биржами, запрашивать информацию о счетах или замораживать активы до того, как они будут полностью отмыты.

Теперь давайте узнаем, как следователи пытаются поймать преступников, используя такие инструменты. Вот несколько способов, которые они используют:

• Аудит блокчейна: следователи тщательно отслеживают поток средств через различные блокчейны, такие как Ethereum, BNB Smart Chain, Arbitrum и Polygon. Это включает анализ истории транзакций, выявление закономерностей и отображение движения активов через различные кошельки и биржи.
• Отслеживание передвижения денег: даже при анонимности, которую обеспечивают миксеры и кроссчейн- транзакции, следователи пытаются отследить денежный след, отслеживая средства на CEX, где они могут быть конвертированы в фиатную валюту. Это часто подразумевает сотрудничество с международными правоохранительными органами для отслеживания средств через границы.
• Кроссчейн-аномалии: следователи отслеживают транзакции мостов на предмет аномалий, таких как необычно большие переводы или подозрительные закономерности. Они проверяют код смарт-контрактов мостов на предмет уязвимостей, которые могут быть использованы хакерами.
• Анализ данных onchain и offchain: следователи анализируют данные onchain (блокчейн) и offchain (уровень 2, социальные сети, форумы, даркнет) для сбора информации о потенциальном мошенничестве. Это может включать мониторинг обсуждений эксплойтов, уязвимостей и потенциальных мошенничеств.
• Криминалистический анализ: при изъятии устройств у подозреваемых группы криминалистов могут проанализировать устройства на предмет наличия криптовалютных кошельков, истории транзакций и других доказательств.

Вот два реальных примера отмывания криптовалют. Взлом DMM демонстрирует использование криптомиксеров для сокрытия происхождения средств, а взлом XT.com показывает, как хакеры использовали криптомосты для отмывания средств.

Взлом DMM

Взлом DMM в мае 2024 года продемонстрировал, как хакеры используют несколько методов обфускации, чтобы скрыть свои действия. В мае 2024 года японская криптобиржа DMM подверглась масштабному взлому, потеряв 4502 BTC стоимостью 305 миллионов долларов на то  момент. Хакеры использовали сложные методы отмывания, включая блокчейны для отмыванния и миксеры монет, чтобы скрыть след транзакций.

Хакеры также манипулировали временем вывода средств, чтобы еще больше нарушить анализ блокчейна . Они намеренно задерживали вывод средств, чтобы добавить еще один уровень запутывания, препятствуя попыткам следователей сопоставить депозиты и выводы средств по их временным меткам.

Взлом XT.com

В ноябре 2024 года криптовалютная биржа XT.com столкнулась с нарушением безопасности, в результате чего была украдена сумма в $1,7 млн. Первоначально злоумышленники нацелились на активы в сетях Optimism и Polygon, а затем использовали кроссчейн- мосты для перевода украденных средств в Ethereum .

Подобная тактика перемещения активов через несколько блокчейнов использовала сложности, присущие отслеживанию средств в различных сетях, тем самым затрудняя следственные действия. Такие кроссчейн- маневры подчеркивают проблемы, с которыми сталкиваются службы безопасности при отслеживании и возвращении незаконно полученных цифровых активов.

Хакеры XT.com использовали мосты для отмывания денег

Проблемы регулирования и усилия правоохранительных органов в отношении криптомикшеров

Криптомиксеры, предназначенные для сокрытия следов транзакций, все чаще привлекают внимание регулирующих органов из-за их роли в отмывании незаконных средств. Управление по контролю за иностранными активами (OFAC) ввело санкции против нескольких миксеров, связанных с киберпреступностью и угрозами национальной безопасности в США.

Blender.io стал первым санкционированным миксером в 2022 году после отмывания $20,5 млн от взлома Axie Infinity. Несмотря на закрытие, он снова появился как Sinbad.io, который в течение года был санкционирован за содействие отмыванию денег в громких взломах, включая взломы Atomic Wallet и Horizon Bridge.

Tornado Cash, некастодиальный миксер на базе Ethereum, запущенный в 2019 году Алексеем Перцевым и Романом Штормом, попал под санкции Министерства финансов США в 2022 году. Однако суд отменил санкции в решении от января 2022 года. Голландские судьи приговорили Перцева к пяти годам и четырем месяцам тюремного заключения за отмывание денег.

Сеть по борьбе с финансовыми преступлениями (FinCEN) классифицирует миксеры как денежные переводы, требующие соблюдения законов AML. Министерство юстиции США агрессивно преследовало нарушителей, в частности, наложив санкции на Tornado Cash за отмывание более 7 миллиардов долларов. Несмотря на такие меры, развивающаяся природа криптомикшеров продолжает бросать вызов регулирующим органам и правоохранительным органам по всему миру.

Группа разработки финансовых мер борьбы с отмыванием денег (FATF), межправительственный орган по противодействию отмыванию денег, обозначила использование миксеров как красный флаг для незаконной деятельности. Европейское банковское управление и Австралийский центр отчетов и анализа транзакций установили правила для требований отчетности. Объединенная руководящая группа по борьбе с отмыванием денег, частная организация организаций финансового сектора, также выпускает руководящие принципы по предотвращению отмывания денег для своих участников.

Однако правоприменение сталкивается с трудностями в привлечении разработчиков к ответственности. Продолжаются юридические дебаты о том, должны ли разработчики нести ответственность, если они не оказывали прямого содействия отмыванию денег после санкций.

Криптовалютам необходимо найти тонкий баланс между конфиденциальностью и безопасностью. Хотя технологии доказательства с нулевым разглашением (ZK), позволят пользователям совершать транзакции конфиденциально, не ставя под угрозу целостность блокчейна , они также должны соответствовать более строгим правилам AML для соответствия требованиям, сохраняя при этом анонимность пользователя.

В то время как сторонники конфиденциальности выступают за финансовый суверенитет и защиту от слежки, сторонники безопасности подчеркивают необходимость прозрачности и соблюдения нормативных требований для сохранения целостности рынка.

Это напряжение, вероятно, будет преодолено с помощью технологических достижений формата ZK-proofs, дифференциальная конфиденциальность и федеративное обучение, которые предлагают потенциальные решения для улучшения конфиденциальности без ущерба для безопасности. Одновременно правительства продолжат разрабатывать нормативные рамки, которые стремятся достичь баланса, возможно, с помощью многоуровневых подходов, предлагающих различные уровни конфиденциальности.

В конечном итоге, для продвижения вперед необходимо сотрудничество разработчиков, регулирующих органов и пользователей с целью создания устойчивой экосистемы, которая защищает конфиденциальность персональных данных, предотвращает незаконную деятельность и укрепляет доверие.