Хакеры, атаковавшие криптобиржу Bybit, перевели не менее 209 384 ETH (около $480 млн) в биткоин. Это более половины из примерно 400 000 ETH, похищенных с биржи, не считая других токенов. Согласно данным Arkham Intelligence, как минимум $240 млн из этой суммы были отмыты через THORchain.
Руководитель безопасности MetaMask Тейлор Монахан (Taylor Monahan) сообщила, что большая часть похищенных средств была конвертирована в «нативный BTC».
Подтверждение от ФБР: за атакой стоит Северная Корея
21 февраля Arkham Intelligence заявила, что за взломом Bybit на сумму более $1,5 млрд стоит северокорейская группировка Lazarus. Федеральное бюро расследований подтвердило, что атаку совершили киберпреступники «TraderTraitor» из Северной Кореи, куда входит и группа Lazarus.
«Преступники TraderTraitor действуют быстро и уже конвертировали часть украденных активов в биткоин и другие виртуальные активы, распределенные по тысячам адресов на нескольких блокчейнах», — говорится в заявлении ФБР. «Ожидается, что эти активы будут подвергнуты дальнейшему отмыванию и в конечном итоге конвертированы в фиатную валюту».
По словам экспертов по безопасности Ethereum, отслеживать перемещение $1,5 млрд в этот раз сложнее, чем обычно. Lazarus известна тем, что разделяет средства и использует несколько протоколов для их перемещения, но данная атака включает тысячи отдельных транзакций.
«Вот как выглядит отслеживание взлома Bybit, — пожаловался исследователь SomaXBT. — Это всего лишь отслеживание двух переводов (по 10 ETH каждый). Мой Mac Air буквально горит при загрузке этих транзакций».
В общей сложности хакеры вывели более 400 000 ETH (около $1,1 млрд на момент атаки), 90 000 stETH, 15 000 cmETH и 8 000 cETH. Однако неизвестно, сколько ETH хакеры держат в данный момент, так как некоторые активы, включая $43 млн в mETH, были заморожены.
Роль ThorChain в отмывании средств
По оценкам Тейлор Монахан из Metamask, хакеры перевели не менее 161 490 ETH (стоимостью $370 млн по текущим ценам) через 3 934 отдельные транзакции в ThorChain за 115 часов с момента взлома. Это составляет большую часть из 209 384 ETH, которые, по ее подсчетам, были переведены в биткоин.
«Это $3 229 800 в час», — отметила она.
Lazarus, по-видимому, использует два основных некастодиальных моста для атаки: упомянутый ThorChain и Exch. Однако биржа Exch, известная своими мягкими требованиями KYC отключила обмен ETH и токенов ERC-20, ограничив возможности хакеров по переводу средств в биткоин.
25 февраля генеральный директор Bybit объявил, что биржа предложит вознаграждение в размере 5% биржам, мостам и миксерам, которые помогут заморозить средства, связанные с атакой. Это дополнение к 10% вознаграждения, которое Bybit изначально предложил любому, кто сможет вернуть средства.
Внутренний раскол в сообществе ThorChain
Согласно нескольким сообщениям в X, в сообществе возник внутренний раскол относительно потоков, связанных с Lazarus. Ранее 27 февраля три валидатора проголосовали за отказ от транзакций, связанных со взломом Bybit, что, по-видимому, временно перемещение средств. Однако «голосование было отменено в течение нескольких минут» из-за механизма консенсуса ThorChain.
Примечательно, что основной разработчик THORChain ’Pluto‘ выступал за борьбу с отмыванием денег в сети, прежде чем объявить о своей отставке из проекта. TCB, один из трех валидаторов, проголосовавших за остановку торговли ETH на THORChain, также заявил, что ищет способы предотвратить отмывание денег Северной Кореей.
«Когда подавляющее большинство перемещения у вас средств — это украденные средства из Северной Кореи для крупнейшего ограбления в истории человечества, это становится проблемой национальной безопасности, это уже не игра», — заявил TCB в X, добавив, что ThorChain недостаточно децентрализован, чтобы пережить регуляторную атаку.
▼
Самые интересные и важные новости на нашем канале в Telegram
