Ключевые выводы:
- Компания CertiK связала около $63M вкладов Tornado Cash со взломом кошелька на сумму $282M, произошедшим 10 января.
- По меньшей мере 686 BTC были переведены в Ethereum и конвертированы в около 19 600 ETH, после чего были распределены по кошелькам.
- Взлом был связан с кражей начальной фразы, а в кошельке хранилось около 1 459 BTC и более 2 млн Litecoin.
Компания CertiK, специализирующаяся на безопасности блокчейна, связала примерно 63 миллиона долларов криптовалютных депозитов, прошедших через Tornado Cash, с крупным взломом кошелька стоимостью 282 миллиона долларов, который произошел 10 января. Компания заявила, что ее системы мониторинга обнаружили взаимодействие с микшером конфиденциальности, которое совпало с перемещением средств после кражи.
Этот инцидент привлек пристальное внимание из-за масштаба потерь и скорости, с которой перемещались активы.
CertiK отслеживает межцепочечные свопы с Биткойна на Эфир
Компания CertiK сообщила, что часть украденного Биткойна была переведена на Ethereum, а затем конвертирована в Эфир. По словам компании, по меньшей мере 686 BTC были перемещены через межцепочечные свопы, в результате чего около 19 600 ETH поступили на один адрес Ethereum. После этого Ether был распределен по нескольким кошелькам более мелкими партиями.
Схема разделения включала отправку нескольких сотен ETH с каждого адреса, прежде чем средства попадали в Tornado Cash. CertiK описал вклады в Tornado Cash как непосредственно связанные с эксплойтом, при этом цифра в 63 миллиона долларов представляет собой лишь часть общей стоимости украденного.
Но даже в этом случае прослеженный поток дает четкое представление о том, как злоумышленник распорядился средствами после первоначальной компрометации.
Переведя средства из Биткойна в Эфир, а затем раздробив их по нескольким адресам, злоумышленник создал дополнительные этапы между кражей и окончательным переводом средств в миксер. Каждый шаг добавлял следователям больше транзакций для отслеживания, а перемещение миксера уменьшало возможность отследить средства с помощью стандартных инструментов отслеживания блокчейна.
Денежные вклады Торнадо уменьшили возможность отслеживания
Выводы CertiK совпадают с методами отмывания, часто встречающимися после крупных краж криптовалют, которые начинаются на одной цепи и переходят на другую. Марван Хачем (Marwan Hachem), генеральный директор компании FearsOff, специализирующейся на безопасности блокчейна, сказал, что этот поток напоминает устоявшуюся тактику, используемую при межцепочечных кражах с участием Биткойна и Litecoin. Он отметил, что злоумышленник использовал THORswap для конвертации Биткойна в Эфир, а затем разбил активы на куски примерно по 400 ETH.
После того, как средства попали в Tornado Cash, отследить их стало гораздо сложнее. Миксеры предназначены для смешивания вкладов из многих источников, что затрудняет сопоставление исходящей транзакции с входящей.
В случаях, когда крупные суммы разбиваются на множество более мелких транзакций, прежде чем попасть в миксер, следователи должны просмотреть более широкий набор адресов и переводов, прежде чем след станет неясным.
Отслеживание CertiK позволяет предположить, что вклады Tornado Cash были не случайными движениями, а частью целенаправленного процесса, призванного нарушить историю транзакций. Однако 63 миллиона долларов — это лишь малая часть от заявленной суммы компрометации в 282 миллиона долларов.
Семенная фраза с поддержкой полного контроля кошелька
Следователи связали инцидент, произошедший 10 января, с атакой социальной инженерии, а не с дефектом смарт-контракта или эксплойтом протокола. Блокчейн-исследователь ZachXBT ранеесообщал, что злоумышленник выдал себя за сотрудника службы поддержки кошелька и обманом заставил жертву раскрыть начальную фразу. Получив начальную фразу, злоумышленник получил полный доступ и установил контроль над средствами кошелька.
В сообщениях, связанных с этим делом, говорится, что на момент атаки на скомпрометированном адресе хранилось около 1 459 BTC и более 2 миллионов Litecoin. Получив контроль, злоумышленник перемещал активы посредством свопов и переводов по цепочкам, конвертируя Биткойн в Эфир, а затем перегоняя его в Tornado Cash.
Отдельная компания ZeroShadow, занимающаяся вопросами безопасности, ранее заявила, что около $700 000 из похищенных средств были замечены и заморожены на ранних стадиях процесса отмывания. Однако большая часть средств была быстро перемещена по кошелькам и платформам, прежде чем меры по соблюдению нормативных требований смогли ограничить дальнейшие переводы.
Компрометация кошелька остается под пристальным вниманием многочисленных команд безопасности из-за ее масштабов и явного использования структурированных шагов по отмыванию денег. Обновление CertiK расширяет картину того, как обрабатывались средства после кражи, включая конвертацию моста в Ethereum и поэтапные переводы в Tornado Cash.
Moses K is a crypto journalist covering markets, regulation, and blockchain trends. He has written for The Coin Republic, Coinchapter, Cryptopolitan, Cryptotale, Coinspeaker, and MPost. Known for his concise, data-driven reporting, Moses focuses on price analysis, on-chain metrics, and policy developments shaping the global digital asset landscape.
