Sa loob ng Paboritong Crypto Laundering Tool ng North Korea: THORChain

Si John-Paul Thorbjornsen, isang dating piloto ng Air Force ng Australia na naging Crypto entrepreneur, ay gumugol nitong mga nakaraang linggo sa pag-promote ng kanyang bagong Crypto wallet, "Vultisig." Itinayo sa THORChain — isang blockchain na itinatag niya upang payagan ang mga swap ng Crypto nang walang mga tagapamagitan — ang pangunahing selling point ng wallet ay mas mahirap i-hack kaysa sa mga katulad na app.

Kamakailan, ang Vultisig — kasama ang mismong THORChain network — ay nakakita ng isang spike sa aktibidad, ngunit nasubaybayan ng mga eksperto sa seguridad ang paglago sa isang nakakabahalang pinagmulan: ang Lazarus hacking group ng North Korea.

Kasunod ng Pebrero $1.4 bilyong hack ng Crypto exchange Bybit — ang pinakamalaking cyber heist sa kasaysayan — ang THORChain ay lumitaw bilang sentro ng mga operasyon ng laundering ng North Korea. Ang mga mananaliksik ay may nasubaybayan ang halos $1.2 bilyon — o 85%— ng mga ninakaw na pondo sa pamamagitan ng network, na naging pangunahing kasangkapan ng rehimeng Kim para sa paglipat ng Crypto sa pagitan ng mga blockchain.

Hindi tulad ng ilang iba pang serbisyo ng blockchain, ang mga operator ng THORChain ay tumanggi na harangan ang mga transaksyong naka-link sa Bybit heist, sa kabila ng mga kahilingan mula sa FBI at iba pang ahensya ng gobyerno. Ang mga wallet ng THORChain tulad ng Asgardex at Vultisig — mga tool na ginagamit ng karamihan sa mga tao sa transaksyon sa network — ay T rin gumagalaw.

Ayon sa mga pagtatantya mula sa mga mananaliksik ng seguridad ng blockchain na nakipag-usap sa CoinDesk, ang mga pangunahing developer at validator ng wallet ng THORChain — marami ang nakilala sa publiko at nakabase sa mga hurisdiksyon na may mahigpit na mga regulasyon laban sa money-laundering, kabilang ang US — ay nakakuha ng mahigit $12 milyon sa mga bayad na konektado sa heist.

Iginiit ni Thorbjornsen, na kilala sa publiko bilang JP Thor, na hindi na siya kasali sa pang-araw-araw na operasyon ng THORChain ngunit nananatili pa rin itong pinaka-nakikitang tagapagtaguyod. "Ang protocol ay patuloy na tumatakbo at nagpapalitan sa kabila ng kaguluhan," sinabi niya sa CoinDesk. "Ito ay gumagawa ng mahusay, sa katunayan."

Ang U.S. Office of Foreign Assets Control (OFAC) ay dati nang pinahintulutan ang mga serbisyo ng blockchain na ginagamit kaugnay ng money laundering, gaya ng mixer app na Tornado Cash (na mula noon ay naging na-delist pagkatapos ng a desisyon ng korte) at Bitzlato, isang palitan. Kinasuhan din ng mga tagausig ang mga operator sa likod ng mga katulad na platform.

Para sa mga eksperto sa batas at sa komunidad ng Crypto , kung ang THORChain — isang layer-1 na blockchain — ay dapat tratuhin nang iba kaysa sa iba pang mga serbisyong ito ay muling binubuhay ang isang pangunahing debate na kinakaharap ng halos lahat ng mga platform ng Crypto : Ang network ba ay tunay na desentralisado?

Sinasabi ng mga kritiko na ito ay T — hindi bababa sa paghahambing sa mga sikat na blockchain tulad ng Bitcoin at Ethereum, na nakakuha ng mas kaunting pagsisiyasat para sa pagpapadali sa mga ipinagbabawal na transaksyon. Ang mga tagasuporta ng THORChain ay "sinasabing ito ay desentralisado kapag maginhawa, ngunit sila ay kumikita mula dito [Bybit hack]," sabi ng blockchain security researcher na si Taylor Monahan. "Ang sama talaga ng tingin."

Ang mga bayarin sa transaksyon ng THORChain — partikular ang mga kinita ng mga wallet app nito, na pinapanatili ng maliliit na developer team — ay lalong nagpapagulo sa depensa nito. Ayon sa isang dating opisyal ng Departamento ng Treasury ng U.S., "Ang sinumang kumikita ng pera sa mga bayarin na nauugnay sa paggalaw ng mga na-hack na pondo na naiugnay na sa publiko kay Lazarus at ang Hilagang Korea ay posibleng may isyu sa OFAC."

Maging ang ilan sa mga pinaka-vocal na tagasuporta ng THORChain ay nabahala. "Kapag ang malaking mayorya ng iyong mga daloy ay mga ninakaw na pondo mula sa North Korea para sa pinakamalaking pagnanakaw ng pera sa kasaysayan ng Human , ito ay magiging isang pambansang isyu sa seguridad," babala ng isang developer ng THORChain na kilala bilang "TCB" sa X. "[T] T na siya laro."

Pinakamalaking hack sa kasaysayan

Ang pag-hack ng Bybit noong Pebrero, isang pangunahing palitan ng Crypto na nakabase sa Dubai, ay malaki kahit na sa mga pamantayan ng grupong Lazarus — ang piling North Korean cyber unit sa likod ng karamihan ng ang pinakamalaking Crypto heists ng nakalipas na dekada.

Ang pag-hack ay naganap matapos malinlang ang tagapagtatag ni Bybit na makipag-ugnayan sa isang website na nakompromiso ni Lazarus. Ang pagkakamali ay nagbigay ng access sa mga hacker sa ilan sa mga pangunahing Ethereum wallet ng Bybit. Nagnakaw sila ng $1.4 bilyong halaga ng ether (ETH) na mga token mula sa palitan.

Ang mga launderer ng North Korea, na mahusay na nasanay pagkatapos ng mga taon ng malalaking pera Crypto heists, ay agad na nagsimulang hatiin ang kanilang record-breaking na paghatak sa isang serye ng mga sariwang Crypto wallet — ang unang hakbang sa isang kumplikadong paglalakbay na idinisenyo upang i-convert ang maruming Crypto sa malinis na pera.

"Gumagamit ang DPRK ng mga advanced na teknikal na kakayahan upang maglaba ng Cryptocurrency," paliwanag ni Andrew Fierman, ang pinuno ng national security intelligence sa Chainalysis. Pagkatapos ilipat ang mga pondo "sa pamamagitan ng malawak na bilang ng mga intermediary wallet," ang mga launderer ay gumagamit ng "cross-chain bridges upang ilipat ang mga ninakaw na pondo sa iba't ibang mga asset, tulad ng Bitcoin, Ethereum, TRON, Solana at iba pa."

Napatunayang mahalaga ang THORChain sa yugto ng bridging, na nagsisilbing go-between para sa pagpapalit ng mga token sa mga blockchain — madalas na paulit-ulit, upang itapon ang mga investigator sa kanilang landas.

"Bago umiral ang THORChain , walang paraan upang magpalit mula sa Ethereum patungo sa Bitcoin nang hindi nagyelo," paliwanag ni Monahan, isang security researcher sa MetaMask.

Ang mga sentralisadong serbisyo ng swap — kabilang ang mga Crypto exchange tulad ng Coinbase at Binance — ay nangangailangan ng mga user na irehistro ang kanilang mga account at nanganganib na masamsam ang mga ipinagbabawal na pondo. Karamihan sa mga desentralisadong serbisyo, samantala, ay kulang sa pagkatubig upang suportahan ang mga transaksyon sa laki ng pangkat ng Lazarus.

Maglagay ng paunawa

Sa araw pagkatapos ng pag-hack ng Bybit, ang pang-araw-araw na dami ng swap ng THORChain ay lumampas sa $529 milyon — ang pinakamalaking araw ng kalakalan nito kailanman, ayon sa data mula sa DeFiLlama. Nagpatuloy ang pag-akyat ng mga volume sa loob ng ilang araw pagkatapos, na bumubuo ng milyun-milyong dolyar sa mga bayarin para sa mga validator ng THORChain, mga tagapagbigay ng pagkatubig at mga serbisyo ng pitaka.

Noong Pebrero 27, ang FBI ay nagpakalat ng isang listahan ng mga address ng blockchain na naka-link sa DPRK at hinikayat ang "mga pribadong sektor na entity kabilang ang mga operator ng RPC node, palitan, tulay, mga kumpanya ng analytics ng blockchain, mga serbisyo ng DeFi, at iba pang mga virtual asset service provider na harangan ang mga transaksyon sa o nagmula sa [kanila]."

Sa puntong ito, marami sa iba pang mga tool sa Crypto na ginagamit ng mga launderer ng North Korea ay nagsimula na sa pagharang sa aktibidad na nauugnay sa heist.

Tether, ang pinakamalaking stablecoin operator, sa kalaunan nag-freeze ng $9 milyon naka-link sa heist, at Mantle, a layer-2 blockchain konektado sa Ethereum, nagyelo $41 milyon pa. ONE platform — isang desentralisadong palitan na pinamamahalaan ng kumpanyang OKX — ganap na itinigil ang mga serbisyo nito.

Sa ilang sandali, tila maaaring Social Media ang THORChain . Bilang tugon sa paunawa ng FBI, isang grupo ng mga validator ng THORChain ang nag-coordinate upang ihinto ang pagpapalit ng Ethereum sa protocol — isang hakbang na nilayon upang pabagalin ang paglabas ng mga ipinagbabawal na pondo. Ngunit ang paghinto ay tumagal lamang ng 30 minuto bago ito binawi kasunod ng pagtulak ng komunidad.

"Walang katibayan, o maaaring magkaroon, na ang anumang nilagdaan at ipinalaganap na transaksyon ay mula sa isang tiyak na lokasyong heograpikal," sabi ni Thorbjornsen sa CoinDesk, na nangangatwiran na ang anumang mga link sa pagitan ng THORChain at Hilagang Korea ay "pinaghihinalaang" dahil ang mga gumagamit ng network ay hindi pinilit na irehistro ang kanilang mga sarili.

Ang pagbabalik ng pause ay napatunayang isang breaking point para sa ilan sa THORChain community. "Epektibo kaagad, hindi na ako mag-aambag sa THORChain," isinulat ng nangungunang developer ng protocol, na kilala bilang "Pluto," sa isang X post.

Teatro ng desentralisasyon?

Pinaninindigan ni Thorbjornsen at ng iba pa na ang THORChain ay dapat ituring bilang isang desentralisadong protocol tulad ng Bitcoin o Ethereum, alinman sa mga ito ay nag-block ng mga transaksyon kasunod ng Bybit heist.

Itinuro nila ang komunidad nito na may higit sa 100 validator — mga computer na nagbe-verify ng mga transaksyon — bilang katibayan na walang iisang entity ang kumokontrol sa system.

Ang modelo ng pamamahala ng THORChain ay umaasa sa mga validator na ito na tumataya sa katutubong RUNE token ng network upang lumahok sa consensus at makakuha ng mga reward. Sa teorya, ang mga pangunahing desisyon sa protocol ay nangangailangan ng pag-apruba mula sa isang supermajority ng mga validator na ito, na lumilikha ng isang distributed power structure na lumalaban sa sentralisadong kontrol.

Gayunpaman, sinasabi ng mga kritiko na ang network ay hindi halos desentralisado gaya ng inaangkin. Noong Enero, nag-iisang developer naka-pause ang network sa panahon ng krisis sa pagkatubig — isang aksyon na dapat ay nangangailangan ng validator consensus kung ang sistema ay mas desentralisado.

Noong nasangkot THORChain sa mga nakaraang operasyon ng North Korean laundering, "sinabi sa amin na wala silang magagawa tungkol sa mga ipinagbabawal na pondo," sabi ni Monahan. "Sa buong panahon, si JP ay may isang pribadong key na may kontrol sa buong system."

Inamin ni Thorbjornsen na ang kadena ay na-pause ng isang administratibong keyholder sa sandaling nahaharap ang THORChain sa isang "eksistensyal" na banta.

Ang pag-pause ay inihayag ng isang developer na may pseudonym na "Leena." Ginawa ni Thorbjornsen ang Leena account nang maaga sa pagbuo ng THORChain at una itong ginamit upang itago ang kanyang tunay na pagkakakilanlan.

Sinabi niya ngayon na ang Leena account ay hindi na niya tanging kontrolado, at may ibang taong nag-pause sa chain alinsunod sa mga katanggap-tanggap na pamamaraan sa seguridad. "Ang susi ay ginamit ng isang may hawak ng susi - At walang pagpapatala ng mga may hawak ng susi," sabi niya.

Para kay Thorbjornsen, ang debate sa kung sino ang kumokontrol sa admin key ay nakakaligtaan ang mas malaking punto.

"Sa unang dalawang taon ng Bitcoin na umiiral, madali mong ginawa ang kaso na ang Bitcoin ay ganap na sentralisado," sinabi niya sa CoinDesk, na itinuro ang isang halimbawa noong 2010 kung saan In-upgrade ni Satoshi ang orihinal na blockchain upang ayusin ang isang malaking bug.

"Ang desentralisasyon ay nakuha, at ito ay nakuha sa pamamagitan ng mga taon na nasa arena at nagpapatunay nito," sabi ni Thorbjornsen. "Lahat ng mga bagay na ito tulad ng pause at unpause ... lahat ito ay bahagi ng paglalakbay ng desentralisasyon."

Negosyo gaya ng dati

Noong Marso 1, ang pinakamalaking araw ng pangangalakal ng THORChain kasunod ng pagnanakaw ng Bybit, nagtala ang network ng mahigit $1 bilyon sa mga swap, higit pa sa karaniwang pinoproseso nito sa isang buong buwan.

Ang aktibidad ay isang biyaya para sa mga tagapagbigay ng imprastraktura ng THORChain — mga serbisyo ng wallet at validator na kumukuha ng pagbawas sa bawat transaksyon sa network.

Ayon sa blockchain forensics firm Chainalysis, ang mga operator ng THORChain node ay nakakuha ng hindi bababa sa $12 milyon sa mga bayarin na konektado sa Bybit heist. Tinawag ng Chainalysis ang pagtatantya nito na "konserbatibo."

Ayon sa mga eksperto sa batas, ang mga bayarin na ito ang maaaring magdulot ng gulo sa mga operator ng THORChain. Nagbabala ang isang dating opisyal ng US Treasury Department sa isang pakikipanayam sa CoinDesk na "marami sa mga ito ay bumababa lamang sa tanong kung sino ang kumikita: Ito ba ay isang puro hanay ng mga tao, at medyo alam ba na [ang mga pondo] ay mula sa masasamang aktor?"

Ang mga Wallet app tulad ng Vultisig at Asgardex ay nakakuha ng espesyal na pagsusuri mula sa mga eksperto sa legal at seguridad, dahil ang mga "frontend" na application na ginagamit upang makipag-ugnayan sa mga blockchain ay karaniwang itinuturing na mas sentralisado kaysa sa mga blockchain mismo.

Ang Asgardex, ONE sa mga pinakasikat na wallet ng THORChain , ay nakakuha ng $1 milyon mula sa mga transaksyong nauugnay sa Bybit, ayon kay Monahan. "Ang dahilan kung bakit mo ginagamit ang Asgardex" kumpara sa iba pang mga wallet ng THORChain "ay dahil T mo ng pagsubaybay — T mo ng pag-filter o anumang bagay," sabi ni Thorbjornsen, na tumulong sa pagbuo ng programa.

Sinabi ni Thorbjornsen na wala na siyang operational o financial stake sa Asgardex, na open-source at maaaring teknikal na muling i-program ng mga user nito upang gumana nang walang bayad. Gayunpaman, kamakailan ay aktibong na-promote niya ang VultiSig, ang kanyang bagong hack-resistant THORChain wallet.

Noong Marso 20, ipinagmalaki ni Thorbjornsen ang isang X post na mas maraming tao kaysa dati ang gumagamit ng app: "Nakakolekta na ng $200k ang kita sa mga Vultisig swaps sa ngayon!" Ang ZachXBT, isang Crypto sleuth na kilala sa pagsisiyasat sa cyber operations ng North Korea, ay tumugon sa pamamagitan ng pagturo na "isang magandang bahagi ng kita na iyon ay nabuo mula sa Bybit hack."

"Ang Vultisig ay hindi isang kadena," sabi ni ZachXBT. "[T]hey ay nagpapatakbo ng isang sentralisadong interface para sa mga user na makipag-ugnayan sa mga protocol nang may bayad."

Noong Abril 16, inilunsad ng Vultisig ang opisyal nitong Crypto token: VULT. Ang token ay ipapamahagi nang libre sa ilan sa mga pinakamatapat na user ng wallet.