Аналитики блокчейна обнаружили лицо, связанное с операцией по отмыванию криптовалюты, которое предлагает украденные токены по сниженным ценам после недавних громких хакерских атак на биржи.
В эксклюзивном интервью Cointelegraph представитель блокчейн-безопасности Match Systems рассказал, как расследования нескольких крупных взломов, осуществленных с использованием подобных методов в летние месяцы 2023 года, указали на лицо, которое, как утверждается, продает украденные токены криптовалюты через пиринговые переводы.
Расследователям удалось определить и связаться с человеком в Telegram, предлагающим украденные активы. Команда подтвердила, что пользователь контролирует адрес с криптовалютами стоимостью более 6 миллионов долларов после получения небольшой транзакции с соответствующего адреса.
Обмен украденными активами осуществлялся через специально созданного бота в Telegram, который предлагал скидку 3% от рыночной цены токена. После начальных разговоров владелец адреса сообщил, что начальные активы были проданы и что новые токены будут доступны примерно через три недели:
«Поддерживая связь с этим человеком, он уведомил нас о начале продажи новых активов. Исходя из имеющейся информации, логично предположить, что это средства от компаний CoinEx или Stake».
Команда Match Systems не смогла полностью идентифицировать этого человека, но сужала его местоположение до европейского часового пояса на основе нескольких полученных скриншотов и времени разговоров:
«Мы считаем, что он не является частью основной команды, но связан с ней, возможно, был деанонимизирован в качестве гарантии, что он не злоупотребит делегированными активами».
Также сообщается, что этот человек проявляет «неустойчивое» и «непредсказуемое» поведение во время различных взаимодействий, внезапно покидая разговоры с такими оправданиями, как «Извините, я должен идти, мама зовет на ужин».
«Обычно он предлагает скидку 3%. Ранее, когда мы впервые его идентифицировали, он отправлял 3.14 TRX в качестве доказательства потенциальным клиентам».
Match Systems сообщила Cointelegraph, что этот человек принимает Bitcoin (BTC) в качестве средства оплаты за украденные токены со скидкой и ранее продал токены TRON (TRX) на сумму 6 миллионов долларов. Последнее предложение от пользователя Telegram включает токены TRX, Ether (ETH) и Binance Smart Chain (BSC) на сумму 50 миллионов долларов.
Ранее блокчейн-безопасность CertiK описала перемещение украденных средств из взлома Stake в переписке с Cointelegraph, причем около 4,8 миллиона долларов из общей суммы в 41 миллион были отмыты через различные перемещения токенов и обмены между блокчейнами.
Позже FBI определило хакеров из северокорейской группы Лазарус как виновников атаки на Stake, а кибербезопасная компания SlowMist также связала взлом CoinEx на сумму 55 миллионов долларов с северокорейской группой.
Это немного противоречит информации, полученной Cointelegraph от Match Systems, которая указывает на то, что исполнители взломов CoinEx и Stake имели немного разные идентификаторы в методологии.
Их анализ подчеркивает, что предыдущие усилия группы Лазарус по отмыванию не включали страны Содружества Независимых Государств (СНГ), такие как Россия и Украина, в то время как взломы летом 2023 года позволили активно отмывать украденные средства в этих юрисдикциях.
Хакеры из группы Лазарус почти не оставляли цифровых следов, в то время как недавние инциденты оставили много подсказок для расследователей. Социальная инженерия также была выявлена как ключевой вектор атак во время летних взломов, в то время как группа Лазарус нацелилась на «математические уязвимости».
Наконец, компания отмечает, что хакеры из группы Лазарус обычно использовали Tornado Cash для отмывания украденной криптовалюты, в то время как в последние инциденты средства смешивались через протоколы, такие как Sinbad и Wasabi. Однако все эти взломы использовали кошельки BTC в качестве основного хранилища украденных активов, а также Avalanche Bridge и миксеры для отмывания токенов.
Данные блокчейна, полученные в конце сентября 2023 года, свидетельствуют о том, что северокорейские хакеры украли примерно 47 миллионов долларов криптовалюты в этом году, включая 42,5 миллиона долларов в BTC и 1,9 миллиона долларов в ETH.