Elliptic рассказала подробности об отмывании украденных у Bybit 1,46 млрд долларов

Что произошло? Аналитики ИБ-компании Elliptic заявили о причастности северокорейской хакерской группировки Lazarus ко взлому дубайской криптобиржи Bybit. 21 февраля Bybit, одна из ведущих глобальных централизованных криптобирж (CEX), потеряла 1,46 млрд долларов в результате атаки с использованием вредоносного ПО.

Блог Elliptic

Что еще известно? В Elliptic подчеркивают, что инцидент стал крупнейшей единовременной кражей не только в криптоиндустрии, но в целом за всю историю: ранее рекорд принадлежал Саддаму Хусейну, который украл 1 млрд долларов из ЦБ Ирака накануне войны в 2003 году.

Версия Elliptic о причастности Lazarus основана на анализе поведения хакеров после атаки, включая тактику отмывания украденных активов. Lazarus давно действует в криптопространстве, и опытные исследователи давно выделили ряд критериев, указывающих на связь тех или иных атак с КНДР.

С 2017 года лица, связанные с Северной Кореей, похитили криптоактивы на сумму более 6 млрд долларов, а вырученные средства, по утверждению ряда сторон, включая правительство США, направляются на финансирование программы вооружений.

Аналитики отмечают, что Lazarus разработала мощную изощренную систему, позволяющую взламывать целевые организации, красть криптоактивы и отмывать их с помощью тысяч блокчейн-транзакций.

Как правило, Lazarus при отмывании в первую очередь конвертирует токены в биткоины или Ethereum. Так, эмитенты ряда токенов в некоторых случаях могут замораживать кошельки с украденными активами, при этом для BTC и ETH не существует центрального руководства, которое могло бы их заморозить.

Именно это произошло в первые минуты после взлома Bybit: сотни миллионов долларов в токенах, таких как stETH и cmETH, были обменены на ETH через децентрализованные криптобиржи (DEX).

На втором этапе украденные средства разделяются, что затрудняет отслеживание их перемещений в прозрачном блокчейне и замедляет расследование. Этот процесс может принимать различные формы, включая отправку средств через большое количество кошельков, перевод средств в другие блокчейны с использованием кроссчейн-протоколов (межсетевых мостов) или бирж, а также использование криптомикшеров, таких как Tornado Cash или Cryptomixer. Все это позволяет хакерам выиграть время для вывода средств.

По утверждению Elliptic, в настоящее время Lazarus находится на втором этапе. В течение двух часов после кражи средства были отправлены на 50 кошельков, около 10 000 ETH на каждый. Теперь эти кошельки систематически опустошаются: к 23 февраля 10% украденных активов были переведены на другие адреса.

Как только средства выводятся с этих кошельков, они отмываются с помощью различных сервисов, включая CEX, DEX и межсетевые мосты. По словам аналитиков, основным и добровольным посредником в этом отмывании является анонимная P2P-платформа eXch.

Через eXch уже прошли десятки миллионов долларов, украденных у Bybit, однако команда платформы в ответ на запросы отказалась блокировать эту деятельность.

eXch и другие схожии сервисы используются для конвертации ETH в BTC. Исходя из типичной тактики Lazarus, можно ожидать, что вскоре хакеры приступят к использованию микшеров для запутывания транзакций. Однако это может оказаться сложной задачей из-за огромного объема украденных активов, заключили аналитики.

Источник