Elliptic рассказала подробности об отмывании украденных у Bybit 1,46 млрд долларов
Что произошло? Аналитики ИБ-компании Elliptic заявили о причастности северокорейской хакерской группировки Lazarus ко взлому дубайской криптобиржи Bybit. 21 февраля Bybit, одна из ведущих глобальных централизованных криптобирж (CEX), потеряла 1,46 млрд долларов в результате атаки с использованием вредоносного ПО.
Блог Elliptic
Что еще известно? В Elliptic подчеркивают, что инцидент стал крупнейшей единовременной кражей не только в криптоиндустрии, но в целом за всю историю: ранее рекорд принадлежал Саддаму Хусейну, который украл 1 млрд долларов из ЦБ Ирака накануне войны в 2003 году.
Версия Elliptic о причастности Lazarus основана на анализе поведения хакеров после атаки, включая тактику отмывания украденных активов. Lazarus давно действует в криптопространстве, и опытные исследователи давно выделили ряд критериев, указывающих на связь тех или иных атак с КНДР.
С 2017 года лица, связанные с Северной Кореей, похитили криптоактивы на сумму более 6 млрд долларов, а вырученные средства, по утверждению ряда сторон, включая правительство США, направляются на финансирование программы вооружений.
Аналитики отмечают, что Lazarus разработала мощную изощренную систему, позволяющую взламывать целевые организации, красть криптоактивы и отмывать их с помощью тысяч блокчейн-транзакций.
Как правило, Lazarus при отмывании в первую очередь конвертирует токены в биткоины или Ethereum. Так, эмитенты ряда токенов в некоторых случаях могут замораживать кошельки с украденными активами, при этом для BTC и ETH не существует центрального руководства, которое могло бы их заморозить.
Именно это произошло в первые минуты после взлома Bybit: сотни миллионов долларов в токенах, таких как stETH и cmETH, были обменены на ETH через децентрализованные криптобиржи (DEX).
На втором этапе украденные средства разделяются, что затрудняет отслеживание их перемещений в прозрачном блокчейне и замедляет расследование. Этот процесс может принимать различные формы, включая отправку средств через большое количество кошельков, перевод средств в другие блокчейны с использованием кроссчейн-протоколов (межсетевых мостов) или бирж, а также использование криптомикшеров, таких как Tornado Cash или Cryptomixer. Все это позволяет хакерам выиграть время для вывода средств.
По утверждению Elliptic, в настоящее время Lazarus находится на втором этапе. В течение двух часов после кражи средства были отправлены на 50 кошельков, около 10 000 ETH на каждый. Теперь эти кошельки систематически опустошаются: к 23 февраля 10% украденных активов были переведены на другие адреса.
Как только средства выводятся с этих кошельков, они отмываются с помощью различных сервисов, включая CEX, DEX и межсетевые мосты. По словам аналитиков, основным и добровольным посредником в этом отмывании является анонимная P2P-платформа eXch.
Через eXch уже прошли десятки миллионов долларов, украденных у Bybit, однако команда платформы в ответ на запросы отказалась блокировать эту деятельность.
eXch и другие схожии сервисы используются для конвертации ETH в BTC. Исходя из типичной тактики Lazarus, можно ожидать, что вскоре хакеры приступят к использованию микшеров для запутывания транзакций. Однако это может оказаться сложной задачей из-за огромного объема украденных активов, заключили аналитики.
Источник:
