Правоохранители при содействии аналитической блокчейн-компании Chainalysis арестовали украденную в ходе мартовского взлома сайдчейна Ronin криптовалюту на сумму более $30 млн.
15/ This seizure represents a huge milestone: The first time ever that cryptocurrency stolen by a North Korean hacking group has been recovered. Check out our latest blog for the full story. https://t.co/lpbFUlXNJt
— Chainalysis (@chainalysis) September 8, 2022
Атака северокорейских хакеров из Lazarus Group на задействованную в игре Axie Infinity сеть стала одной из крупнейших в индустрии. Злоумышленники получили доступ к пяти из девяти ключей валидаторов. Они использовали большинство для одобрения двух транзакций вывода: 173 600 ETH и 25,5 млн USDC. Стоимость украденных активов на тот момент составила $625 млн.
После взлома хакеры начали процесс отмывания средств, в котором задействовали более 12 000 различных криптоадресов, отметили в Chainalysis.
Исследователи определили типичную схему легализации криптоактивов, используемую северокорейской группировкой. По их словам она состояла из пяти этапов:
Согласно Chainalysis, хакеры воспроизвели этот процесс с большей частью украденных средств.
В начале августа Минфин США ввел санкций против Tornado Cash за отмывание криптовалюты, в том числе связанной с Lazarus Group на сумму свыше $455 млн. С этого момента группировка стала использовать вместо Ethereum-миксера сервисы DeFi для переходов между блокчейнами и различными видами криптовалют за одну транзакцию.
В качестве примера исследователи привели одну из подобных операций с украденными средствами. В ее ходе хакеры отправили ETH из блокчейна Ethereum через мост в BNB Chain, обменяли на USDD и перевели стейблкоины в сеть BitTorrent.
Исследователи отметили, что отслеживанию украденных активов во многом способствовала присущая криптовалютам прозрачность. Арест суммы более чем на $30 млн стал результатом сотрудничества команды Chainalysis с правоохранителями и координации действий с торговыми площадками, куда средства поступили для обналичивания.
По данным компании, это первый случай конфискации связанной с Lazarus Group криптовалюты.
Большая часть похищенных у Ronin активов остается на контролируемых злоумышленниками кошельках, подчеркнули эксперты.
Исследователь ₿liteZero из SlowMist также пришел к выводу, что взломщики сайдчейна перевели значительную часть криптовалюты в биткоин, используя инструменты конфиденциальности транзакций.
