Это игра в кошелек, несмотря на усилия Tornado Cash. На данный момент хакеры, похоже, побеждают.
Предположительно северокорейский кошелек Ethereum, связанный с мартовским взломом криптовалюты на 600 миллионов долларов, продолжал отмывать украденный ETH в пятницу вопреки санкциям США.
Адрес, занесенный в черный список, который, по словам властей США, контролируется элитной северокорейской хакерской группой Lazarus, сегодня утром по нью-йоркскому времени отправил 2915 ETH (около 8,8 млн долларов) на «отмывку», на следующий день после того, как федеральные чиновники занесли его в свою базу данных санкций.
Сделав короткую остановку на свежем не санкционном кошельке, его криптовалюта быстро прошла через популярный миксер монет Tornado Cash, где след остыл.
Это было продолжением того, что один эксперт по отслеживанию назвал стратегией отмывания грубой силы, рассчитанной на скорость — даже за счет части средств. Спустя месяц после того, как хакеры лишили Ronin Bridge более 600 миллионов долларов в криптовалюте, они проталкивают украденные средства через Tornado Cash, около 10 миллионов долларов за раз.
В четверг компания по розыску Elliptic подсчитала, что хакеры Ronin отмыли 80 миллионов долларов через Tornado Cash. Транзакции в пятницу утром, вероятно, добавят к этой сумме как минимум еще 8 миллионов долларов. Неясно, сколько Lazarus может успешно отмыть для своих целей.
Открытая книга
Прозрачный реестр транзакций Ethereum раскрывает гамбит.
За последние 10 дней адрес «Ronin Bridge Exploit» отправил многомиллионные партии ETH на кошельки-посредники для обработки через Tornado Cash. Он движется быстро, внося 100 траншей ETH в Tornado Cash за считанные часы и отказываясь от относительно небольших оставшихся сумм.
Вскоре после сегодняшнего утреннего микса Tornado Cash написал, что использует поток данных от Chainalysis, чтобы «заблокировать адреса, санкционированные OFAC, от доступа к децентрализованному приложению».
В любом случае, это влияет только на внешний интерфейс Tornado Cash, а это означает, что опытные пользователи по-прежнему могут взаимодействовать со смарт-контрактами, обеспечивающими работу децентрализованной службы. Основной кошелек не пытался перевести средства через Tornado Cash, но операторы санкционнного кошелька, похоже, отправляют средства только один раз в день.
Ни один из этих фактов не имел бы большого значения для отмывания Lazarus. Вчера Chainalysis добавила один кошелек — санкционный адрес «Ronin Bridge Exploit» — к своему бесплатному сервису оракула, а не промежуточные адреса, которые используют хакеры.
Представитель Chainalysis сказал, что компания предоставляет более комплексные инструменты соответствия своим платным продуктам.
Министерство финансов США заявило, что кошелек был связан с Lazarus Group в четверг, но ФБР только позже в тот же день подтвердило, что федеральные чиновники считают, что северокорейская хакерская группа несет прямую ответственность за компрометацию моста Ronin, связанного с Axie Infinity.
«Благодаря нашему расследованию мы смогли подтвердить, что Lazarus Group и APT38, киберсубъекты, связанные с КНДР, несут ответственность за кражу 620 миллионов долларов в Ethereum, о которой сообщалось 29 марта», — говорится в заявлении ФБР.