Шард

Рассказывая о ситуациях с хищением криптовалют, хочется процитировать высказывание основоположника мировой религии Будды, который говорил, что «три вещи нельзя долго скрывать: солнце, луну и правду». От себя добавим, что в некоторой степени к этому списку можно отнести и пути движения криптовалюты, основанной на публичном блокчейне.

Действительно, все, что произошло в публичном блокчейне, в том числе и хронология операций, и адреса взломов и скамов, остаются здесь же и доступны для изучения всем желающим посредством общедоступных программ блокчейн–эксплореров либо специализированных аналитических платформ.

Это обстоятельство дает возможность аналитикам компаний или отдельным энтузиастам сравнивать хакерские атаки по тактическим приемам, методам взлома, путям вывода средств и иным характеристикам. Так, например, по схожести атак на криптосервисы аналитики установили причастность северокорейских хакеров Lazarus group к нескольким взломам в 3 квартале 2023 года: биржа Coinex, казино Stake, платежные провайдеры Alphapo и CoinsPaid.

Более подробно о видах хакерских атак можно почитать в нашем материале Виды хакерских атак на криптосервисы.

В последнее время участились сообщения различных аналитических сервисов и информационных агентств, что средства, похищенные в результате хакерской атаки на криптосервис и неподвижно пролежавшие несколько лет, в одночасье были выведены на биржу либо миксер.

Действительно, согласно в том числе собственным исследованиям ШАРД, в большинстве случаев похищенные в результате взломов средства выводят на миксеры Tornado Cash, Sinbad, а иногда направляют напрямую на децентрализованные и даже на централизованные биржи.

По обращениям пострадавших сервисов в компании Circle и Tether адреса злоумышленников в стейблкоинах USDC и UDST могут быть заблокированы. Также по обращениям компаний блокировке могут быть подвергнуты адреса в любых криптовалютах на централизованных биржах.

Однако, в ряде случаев после взлома похищенные средства оседают на кошельках хранения злоумышленников и не доходят до криптобирж и обменных сервисов. Такая «пенсия» может ожидать вывода несколько лет и не факт, что она достанется именно тому, кто похитил средства: членов хакерской группировки могут задержать и в процессе следственных действий они могут предоставить доступ к кошелькам хранения средств, либо ключи от кошельков будут найдены в ходе обыска или осмотра жилища. Кроме того, внутри хакерской группировки может случиться раскол и доступ к средствам может получить даже третье лицо, не связанное непосредственно со взломом.

Кому же достанется «клад»?

В первую очередь, конечно, злоумышленникам, которые совершили хакерскую атаку и в целях безопасности и для того, чтобы не привлекать излишнее внимание к похищенным средствам, оставили заначку до лучших времен.

Необходимо также отметить, что к взломам децентрализованных сервисов часто причастны члены команды самого сервиса либо его бывшие сотрудники. Никто так хорошо не знает уязвимости криптосервиса как его создатели и сотрудники. Поэтому вероятным сценарием может быть, что сотрудник криптосервиса участвовал в его взломе, перевел криптовалюту на адрес хранения, а вывел ее, когда уволился из компании и переехал жить в другую страну. Во вторую очередь, это, как мы уже сказали, правоохранительные органы, а также третьи лица, не связанные непосредственно со взломом.

Обстоятельства могут сложиться и так, что украденные средства будут мертвым грузом лежать в блокчейне и даже не достаться никому, пока технологии не позволят дешифровать приватные и публичные ключи.

Последние известные случаи движения похищенных средств: DerIbit

24 октября 2023 года пришли в движение 151 BTC из средств, похищенных в результате хакерской атаки на децентрализованный криптовалютный фонд Deribit в ноябре 2022 года, ущерб от взлома в BTC, ETH и USDC составил почти $28 млн. Средства, которые начали движение, были перераспределены на другие адреса хранения, до вывода средств на биржи пока не дошло. Основной адрес похититель в сети BTC bc1qw5g8lw4kzltpdcraehy2dt6dqda8080xd6vhl4kg4wwsypwerg9s3x6pvk еще хранит 540 BTC.

GDAC

11 октября 2023 года пришли в движения средства в сети Bitcoin, похищенные у биржи GDAC в апреле этого года. Речь идет о 61 BTC, при этом в общей сложности с кошельков биржи были выведены средства на сумму эксиваленнтную $13 млн, в основном средства были направлены на миксер Tornado Cash. Известные адреса хакеров 19s4ao88wnDpvggaiRWXq6WgLyhneXw8ag и 1AWcB2K3gQfEyQusYvRDDtrJkZfvMmPnAe хранили до последнего времени средства, после чего биткоины были перераспределены на другие адреса хранения, а часть выведена через мост Avalanche.

FTX

30 сентября 2023 года пришли в движение средства, похищенные у биржи FTX в ноябре 2022 года. Речь идет о движении более чем 90 000 ETH, которые пролежали почти год на 6 кошельках хранения. Начавшая миграцию криптовалюта была выведена через сервис THORSwap на базе кроссчейн-протокола THORChain, часть средств перераспределилась по кошелькам холодного хранения.

Причиной движения похищенных средств FTX скорее всего является судебный процесс в отношении бывшего основателя FTX Сэма Бэнкмана-Фрида.

Более подробно о движении похищенных средств можно почитать в нашем материале Движение похищенных средств биржи FTX.

В завершении хотим еще раз напомнить, что прозрачность публичных блокчейнов и криптоиндустрии является своеобразным элементом общественного контроля, направленным на то, чтобы хищения, взломы и иные противоправные действия не ухудшали имидж криптовалют, делая его лишь инструментом для совершения противоправных действий.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками Вы можете сообщить на сайте в разделе «Сообщение о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.