Розслідування виявило зв’язки з відмиванням грошей через Tornado Cash у хакінгу криптовалютного гаманця на $282 мільйонів

Свежа судова експертиза щодо зламу гаманця на $282 мільйонів виявила масштабну діяльність з відмивання коштів через Tornado Cash, яка тривала значно довше після початкового викрадення.

CertiK пов’язує потоки міксерів з компрометацією гаманця на $282 мільйонів

Блокчейн-компанія CertiK відстежила потоки Tornado Cash на суму $63 мільйонів до зламу криптогаманця 10 січня, що призвів до витоку $282 мільйонів. Команда виявила нову діяльність з відмивання та підтвердила недавні переміщення коштів, пов’язаних із початковим зломом. Більше того, новий зв’язок значно розширює відомий часовий ряд активності після крадіжки.

За словами CertiK, зловмисник маршрутизував викрадені активи через кілька блокчейнів, перш ніж відправити їх через протокол приватності. Команда виявила структуровані перекази, які просували ETH (ETH) через послідовність адрес перед внесенням у Tornado Cash. Цей шаблон дуже нагадує методи відмивання, що використовувалися у попередніх масштабних крадіжках криптовалют.

Міжланцюгові переміщення та структуровані пакетні перекази

Розслідування показало, що значна частина викраденого Bitcoin (BTC) спершу була перенесена на Ethereum, а потім конвертована у ETH. CertiK виділила одну адресу отримувача, яка накопичила 19 600 ETH після цієї міжланцюгової операції. Однак ці активи швидко були розділені на менші частки, знову переміщені, а потім відправлені до Tornado Cash.

Сума $63 мільйонів відображає лише частину загальної викраденої суми, але ілюструє системний підхід операції. Аналітики зафіксували повторювані пакетні перекази, навмисно організовані для зменшення уваги на блокчейні та подовження ланцюга відмивання. Крім того, послідовне, поетапне використання Tornado Cash підкреслює тривалу намір зловмисника ускладнити слідство за злом криптогаманця.

Фахівці зазначають, що ці схеми відмивання через пакетні перекази стають все більш поширеними у складних крадіжках. Зловмисник повторювано переміщував кошти через нові адреси та між ланцюгами, використовуючи часові проміжки та різні суми, щоб уникнути очевидної кластеризації. Відповідно, кожен додатковий перехід перед міксером ще більше ускладнює пряме встановлення зв’язку з початковим зломленим гаманцем.

Обмеження трасування після потрапляння коштів у Tornado Cash

Команди з безпеки криптовалют наголошують, що внески у Tornado Cash значно зменшують шанси відновлення криптофондов після завершення циклів змішування. Міксери руйнують видимі зв’язки між відправниками та отримувачами, підриваючи традиційну аналітику на блокчейні. Також, трасування повного набору виходів стає набагато складнішим після того, як кошти залишають пул.

Інцидент 10 січня повторював цю ж схему, з додатковими перехопленнями гаманців, здійсненими незадовго до кожного внеску у міксер. Розслідувачі підтвердили, що ці останні стрибки створювали додаткову відстань від вихідного гаманця. Більше того, момент, коли кошти переходили у Tornado Cash, став вирішальним бар’єром для більшості подальших спроб відстеження.

Компанії з безпеки також повідомляють про дуже обмежені можливості зменшення шкоди після початку відмивання через Tornado Cash. Деякі централізовані платформи змогли позначити та заблокувати невеликі фрагменти, що торкнулися їхніх сервісів. Однак ці блокування охоплювали лише незначну частину загального обсягу, і більшість активів були переміщені поза досяжність на ранніх стадіях змішування.

Соціальна інженерія спричинила повне злом гаманця

Розслідування зломів показало, що операція почалася з цілеспрямованого злома гаманця через соціальну інженерію. Зловмисник видавав себе за легітимного співробітника служби підтримки і переконав жертву розкрити важливу фразу-сід, що забезпечує доступ до гаманця. В результаті, зловмисник отримав прямий контроль над значними резервами Bitcoin та Litecoin (LTC), що зберігалися у зламаному акаунті.

Гаманець містив понад 1 459 BTC і понад 2 мільйони LTC до крадіжки, згідно з реконструкцією CertiK. Частина цих активів була конвертована у інші цифрові активи на ранніх етапах процесу відмивання. Крім того, частини коштів були переміщені через різні мережі, застосовуючи міжланцюгові схеми відмивання перед остаточними переказами у міксер Tornado Cash.

Аналітики безпеки продовжують стежити за новими переміщеннями з будь-яких адрес, пов’язаних із зломом, хоча тепер вони очікують лише поступового прогресу. Повторне використання протоколу Tornado Cash підкреслює цілеспрямований план стерти сліди транзакцій і використати дизайн міксера. Загалом, цей випадок ілюструє, як скоординовані соціальні інженерії, міжланцюгові перекази та внески у міксер можуть серйозно обмежити перспективи відновлення у великих крадіжках криптовалют.