Расследование выявило связи с отмыванием денег через Tornado Cash в хакерской атаке на криптовалютный кошелек на $282 миллионов

Свежая судебно-экспертная работа по взлому кошелька на $282 миллион выявила масштабную деятельность по отмыванию денег через Tornado Cash, которая продолжалась значительно после первоначальной кражи.

CertiK связывает потоки миксера с компрометацией кошелька на $282 миллион

Блокчейн-компания CertiK проследила потоки Tornado Cash на сумму $63 миллион до взлома криптокошелька 10 января, в результате которого было выведено $282 миллион. Команда обнаружила новую деятельность по отмыванию и подтвердила недавние перемещения средств, связанных с исходным компрометом. Более того, новая связь значительно расширяет известные временные рамки активности после кражи.

По данным CertiK, злоумышленник направлял украденные активы через несколько блокчейнов, прежде чем отправить их через протокол конфиденциальности. Компания обнаружила структурированные переводы, которые перемещали Ether (ETH) через последовательность адресов перед депозитами в Tornado Cash. Этот шаблон очень напоминал методы отмывания, использованные в более ранних крупных кражах криптовалют.

Межцепочные перемещения и структурированные пакетные переводы

Расследование показало, что значительная часть украденных Bitcoin (BTC) сначала была переведена на Ethereum, а затем конвертирована в ETH. CertiK выделила один адрес, который накопил 19 600 ETH после этой межцепочной операции. Однако эти активы быстро разбили на меньшие части, затем снова переместили, прежде чем отправить их в Tornado Cash.

Число $63 миллион отражает лишь часть общего украденного значения, но иллюстрирует методичный характер операции. Аналитики отметили повторяющиеся пакетные переводы, специально организованные для снижения видимости на цепочке и удлинения цепочки отмывания. Кроме того, постепенное использование Tornado Cash подчеркивает устойчивое намерение злоумышленника усложнить отслеживание взлома криптовалютного кошелька.

Специалисты отметили, что такие схемы отмывания через пакетные переводы становятся все более распространенными в сложных кражах. Злоумышленник неоднократно перемещал средства через новые адреса и цепочки, используя временные промежутки и разные суммы, чтобы избежать очевидной кластеризации. В результате каждое дополнительное перемещение перед миксером еще больше усложняло прямую атрибуцию исходного взломанного кошелька.

Ограничения отслеживания после попадания средств в Tornado Cash

Команды по безопасности криптовалют подчеркнули, что депозиты в Tornado Cash значительно снижают шансы на восстановление средств после завершения циклов смешивания. Миксеры разрывают видимые связи между отправляющими и получающими адресами, подрывая эффективность традиционной аналитики на цепочке. Аналогично, отслеживание полного набора выходов становится гораздо сложнее после того, как средства покидают пул.

Инцидент 10 января повторил ту же схему, с дополнительными перемещениями кошельков, выполненными незадолго до каждого депозита в миксер. Следователи подтвердили, что эти последние прыжки создавали дополнительную дистанцию от исходного кошелька. Более того, момент, когда средства переходили в Tornado Cash, стал решающим барьером для большинства последующих попыток отслеживания.

Компании по безопасности также сообщили о крайне ограниченных возможностях снижения ущерба после начала этапов отмывания через Tornado Cash. Некоторые централизованные платформы смогли отметить и заморозить небольшие фрагменты, связанные с их сервисами. Однако эти блокировки охватывали лишь малую часть общего объема, и большинство активов было перемещено за пределы доступа на ранних стадиях миксинга.

Социальная инженерия привела к полному взлому кошелька

Расследование показало, что операция началась с целенаправленной социальной инженерии и компрометации кошелька. Злоумышленник выдавал себя за сотрудника службы поддержки и убедил жертву раскрыть важную seed-фразу, обеспечивающую доступ к кошельку. В результате злоумышленник получил прямой контроль над значительными резервами Bitcoin и Litecoin (LTC), хранящимися в скомпрометированном аккаунте.

В кошельке находилось более 1 459 BTC и свыше 2 миллионов LTC до кражи, согласно реконструкции CertiK. Часть этих активов была конвертирована в другие цифровые активы на ранних этапах процесса отмывания. Кроме того, части средств были перемещены через различные сети, используя тактики межцепочного отмывания, прежде чем окончательно перевести их в миксер Tornado Cash.

Аналитики по безопасности продолжают отслеживать новые перемещения с любых адресов, связанных с взломом, хотя сейчас ожидается только постепенный прогресс. Повторное использование протокола Tornado Cash подчеркивает сознательный план по стиранию транзакционных следов и эксплуатации конструкции миксера. В целом, этот случай демонстрирует, как скоординированные социальные инженерные атаки, межцепочные переводы и депозиты в миксер могут значительно ограничить возможности восстановления в крупных кражах криптовалют.