Деньги, скорее всего, пойдут на ядерную программу Северной Кореи
Основатель Bybit Бен Чжоу
Эксперты объясняют, что за годы существования Lazarus Group выработала узнаваемую схему атак.
Как Lazarus ворует крипту
Первый шаг — перевести все украденные токены в основную валюту блокчейна, в данном случае ETH. Это связано с тем, что в некоторых случаях эмитенты других криптовалют в экосистеме Ethereum могут заморозить кошельки с украденными активами.
Второй этап — использование так называемой тактики «наслаивания», чтобы усложнить отслеживание транзакций. Для этого используют разные методы, в том числе пересылку активов через большое количество криптокошельков и их перемещение из одного блокчейна в другой. Все это замедляет анализ транзакций, позволяя мошенникам выиграть время и обналичить украденные средства.
По данным Elliptic, в первые два часа после взлома Bybit хакеры переправили украденные активы на 50 разных кошельков, в каждом из которых содержалось около 10 тысяч ETH. К 25 февраля 22% этих средств (около 270 миллионов долларов по курсу на тот момент) переместили дальше.
Одним из посредников, помогающих перемещать и обналичивать средства, эксперты называют биржу eXch. Она позволяет обменивать криптоактивы анонимно, чем и пользуются злоумышленники. Аналитики Elliptic утверждают, что с момента взлома северокорейская группировка обменяла с помощью eXch средства на сумму более 75 миллионов долларов. При этом биржа отказывается блокировать эти транзакции, несмотря на прямые запросы.
«Мы никогда не видели ничего настолько масштабного, — прокомментировал взлом Bybit сотрудник аналитической и расследовательской компании TRM Labs Ник Карлсен. — Способность этих незаконных финансовых сетей настолько быстро поглощать такие огромные суммы денег вызывает глубокое беспокойство». В прошлом Карлсен работал аналитиком в команде разведки ФБР и специализировался на Северной Корее. Его компания тоже связывает атаку на биржу с действиями хакеров из КНДР, но не уточняет, какая именно группировка ответственна за это.
Представитель Bybit Тони Ау в понедельник отказался комментировать возможную причастность Северной Кореи к взлому, отметив, что команда «в данный момент все еще ведет расследование». Но уже на следующий день основатель биржы Бен Чжоу призвал сообщество объединиться в борьбе с Lazarus Group. Биржа также пообещала выплатить 10% от суммы возвращенных средств тем, кто поможет отследить и заморозить украденные активы.
Основатель Bybit также поделился ссылкой на сайт, где можно следить за поиском похищенных средств. Судя по опубликованной там информации, пока бирже удалось заморозить чуть больше 42 миллионов долларов (чуть больше 3% от всей суммы). В этом им помогли несколько представителей криптосообщества, включая ZachXBT, а также сотрудники криптобиржи Binance. Сооснователь Elliptic Том Робинсон в комментарии CNN также сообщил, что еще 243 тысячи долларов были изъяты. «Капля в море, но это только начало», — отметил он.
Подпишитесь на канал "Жизнь Дурова: ЗОЖ, деньги, ИТ" - все самое главное о здоровье, технологиях и деньгах