Исследователи компании Chainalysis пришли к выводу, что около 60% всей похищенной в результате взломов бирж криптовалюты, или $1 млрд в эквиваленте — на совести двух организованных групп хакеров.
Взломы криптобирж были и остаются самым прибыльным видом преступлений, связанных с криптовалютой. Проанализировав известные случаи взломов и проследив дальнейшие транзакции с украденными средствами, эксперты Chainalysis утверждают, что главными фигурами на этом рынке являются две организованные группы хакеров, которые в отчете фигурируют как Альфа и Бета. В среднем их добыча составляет около $90 млн за раз, среднее количество транзакций с украденной криптой — около 5 тыс., после чего преступники делают паузу длиной около 40 дней и более, выжидая, пока страсти поутихнут.
Используемые ими подходы и методы существенно отличаются. В Chainalysis считают, что Альфа представляет собой большую вертикально выстроенную структуру с жесткой дисциплиной и определенной идеологией — то есть получение материальной выгоды является для нее не единственной целью. При этом Бета — группа с меньшим количеством участников и менее строгой дисциплиной, что выражается в менее тщательном заметании следов, целью деятельности которой являются прежде всего деньги как таковые.
Первая группа значительно больше сил уделяет именно маскировке вывода средств, тасуя украденную крипту между адресами, биржами, миксерами и обменниками, вторая нацелена на более быстрый вывод. Альфа задействует в процессе вывода средств огромное количество транзакций (до 15 тыс. транзакций в одном из случаев) и делает это достаточно быстро, переводя до 75% украденных средств в наличные в течение 30 дней.
Тактика Беты — придержать украденную крипту до поры до времени. После взлома хакеры выжидают от 6 до 18 месяцев, затем обналичивают украденное с минимальным количеством транзакций — чаще всего на одну используемую ими биржу приходится свыше 50% украденной крипты, в одном из случаев — около $32 млн, обналиченных в течение нескольких дней.
На руку обеим группировкам играет сегментация рынка — биржи отслеживают движение средств, многие делятся информацией, однако этого явно недостаточно — хакеры все еще имеют возможность украсть деньги на одной бирже, а затем спокойно обменять их на другой. Упрощает им задачу также недостаток специализированного софта и работающих с ним специалистов, способных выявлять и отслеживать подозрительные всплески активности.