All'interno dello strumento di riciclaggio Cripto preferito dalla Corea del Nord: THORChain

John-Paul Thorbjornsen, ex pilota dell'aeronautica militare australiana diventato imprenditore Cripto , ha trascorso le ultime settimane a promuovere il suo nuovo portafoglio Cripto , "Vultisig". Basato su THORChain , una blockchain da lui fondata per consentire scambi Cripto senza intermediari, il principale punto di forza del portafoglio è che è più difficile da hackerare rispetto ad app simili.

Di recente, Vultisig, insieme alla rete THORChain stessa, ha visto un picco di attività, ma gli esperti di sicurezza hanno ricondotto la crescita a una fonte preoccupante: il gruppo di hacker nordcoreano Lazarus.

Dopo febbraioHackeraggio da 1,4 miliardi di dollari di scambio Cripto Bybit — il più grande furto informatico della storia — THORChain è emerso come centrale nelle operazioni di riciclaggio della Corea del Nord. I ricercatori hanno monitorato quasi 1,2 miliardi di dollari — ovvero l'85% — dei fondi rubati tramite la rete, che è diventata lo strumento principale del regime di Kim per spostare Cripto tra blockchain.

A differenza di altri servizi blockchain, gli operatori di THORChain si sono rifiutati di bloccare le transazioni collegate al furto di Bybit, nonostante le richieste dell'FBI e di altre agenzie governative. Anche i portafogli THORChain come Asgardex e Vultisig, strumenti che la maggior parte delle persone usa per effettuare transazioni sulla rete, T sono mossi.

Secondo le stime dei ricercatori sulla sicurezza blockchain che hanno parlato con CoinDesk, i principali sviluppatori e validatori di wallet di THORChain, molti dei quali sono pubblicamente identificati e hanno sede in giurisdizioni con rigide normative antiriciclaggio, tra cui gli Stati Uniti, hanno guadagnato oltre 12 milioni di dollari in commissioni legate alla rapina.

Thorbjornsen, noto pubblicamente come JP Thor, insiste nel dire che non è più coinvolto nelle operazioni quotidiane di THORChain, ma ne rimane il più visibile sostenitore. "Il protocollo continua a funzionare e a fare scambi nonostante il caos", ha detto a CoinDesk. "Sta andando alla grande, in realtà".

L'Ufficio statunitense per il controllo dei beni esteri (OFAC) ha precedentemente sanzionato i servizi blockchain utilizzati in relazione al riciclaggio di denaro, come l'app mixer Tornado Cash (che da allora è statacancellatodopo unsentenza del tribunale) E Bitzlato, uno scambio. I procuratori hanno anche accusato gli operatori dietro piattaforme simili.

Per gli esperti legali e la comunità Cripto , la questione se THORChain , una blockchain di livello 1, debba essere trattata in modo diverso rispetto agli altri servizi, riaccende un dibattito fondamentale che accomuna praticamente tutte le piattaforme Cripto : la rete è veramente decentralizzata?

I critici sostengono che T lo è, almeno in confronto a blockchain popolari come Bitcoin ed Ethereum, che hanno ricevuto meno controlli per aver facilitato transazioni illecite. I sostenitori di THORChain "sostengono che è decentralizzata quando è conveniente, eppure stanno traendo profitto da questo [hack di Bybit]", ha affermato il ricercatore di sicurezza blockchain Taylor Monahan. "È davvero una brutta figura".

Le commissioni di transazione di THORChain, in particolare quelle guadagnate dalle sue app wallet, che sono gestite da piccoli team di sviluppatori, complicano ulteriormente la sua difesa. Secondo un ex funzionario del Dipartimento del Tesoro degli Stati Uniti, "chiunque guadagni denaro con commissioni relative allo spostamento di fondi hackerati che sono già stati pubblicamente attribuiti a Lazarus e alla Corea del Nord ha potenzialmente un problema OFAC".

Anche alcuni dei sostenitori più accaniti di THORChain sono diventati preoccupati. "Quando la stragrande maggioranza dei tuoi flussi sono fondi rubati dalla Corea del Nord per la più grande rapina di denaro nella storia Human , diventerà un problema di sicurezza nazionale", ha messo in guardia uno sviluppatore THORChain noto come "TCB" su X"[T uesto T è più un gioco."

Il più grande hack della storia

L'attacco informatico di febbraio a Bybit, un importante exchange Cripto con sede a Dubai, è stato di grandi dimensioni anche per gli standard del gruppo Lazarus, l'unità informatica d'élite nordcoreana dietro la maggior parte di i più grandi furti di Criptodell'ultimo decennio.

L'hack è avvenuto dopo che il fondatore di Bybit è stato ingannato e indotto a interagire con un sito web che Lazarus aveva compromesso. L'errore ha concesso agli hacker l'accesso ad alcuni dei principali wallet Ethereum di Bybit. Hanno rubato token ether (ETH) per un valore di 1,4 miliardi di dollari dall'exchange.

I riciclatori nordcoreani, esperti dopo anni di furti di grandi somme di denaro tramite Cripto , hanno subito iniziato a suddividere il loro bottino da record tra una serie di nuovi portafogli Cripto : il primo passo di un complesso percorso progettato per convertire le Cripto sporche in denaro pulito.

"DPRK utilizza capacità tecniche avanzate per riciclare Criptovaluta", ha spiegato Andrew Fierman, capo dell'intelligence per la sicurezza nazionale presso Chainalysis. Dopo aver spostato i fondi "attraverso un vasto numero di portafogli intermediari", i riciclatori utilizzano "bridge cross-chain per spostare i fondi rubati attraverso vari asset diversi, come Bitcoin, Ethereum, TRON, Solana e altri".

THORChain si è rivelato essenziale nella fase di collegamento, fungendo da intermediario per lo scambio di token tra blockchain, spesso ripetutamente, per depistare gli investigatori.

"Prima che esistesse THORChain , non c'era modo di passare da Ethereum a Bitcoin senza essere bloccati", ha spiegato Monahan, ricercatore di sicurezza presso MetaMask.

I servizi di swap centralizzati, tra cui gli exchange Cripto come Coinbase e Binance, richiedono agli utenti di registrare i propri account e rischiano di vedersi sequestrare fondi illeciti. La maggior parte dei servizi decentralizzati, nel frattempo, non ha la liquidità necessaria per supportare transazioni della portata del gruppo Lazarus.

Mettere in guardia

Il giorno dopo l'hacking di Bybit, il volume di swap giornaliero di THORChain ha superato i 529 milioni di $, il suo più grande giorno di trading di sempre, secondo i dati di DeFiLlama. I volumi hanno continuato a salire per giorni, generando milioni di dollari in commissioni per i validatori, i fornitori di liquidità e i servizi di portafoglio di THORChain.

Il 27 febbraio, l'FBI ha diffuso un elenco di indirizzi blockchain collegati alla RPDC e ha esortato "le entità del settore privato, tra cui operatori di nodi RPC, exchange, bridge, società di analisi blockchain, servizi DeFi e altri fornitori di servizi di asset virtuali a bloccare le transazioni con o derivanti da [loro]".

A questo punto, molti degli altri strumenti Cripto utilizzati dai riciclatori nordcoreani avevano già iniziato a bloccare le attività collegate alle rapine.

Tether, il più grande operatore di stablecoin, alla fine congelati 9 milioni di dollaricollegato alla rapina, e Mantle, unblockchain di livello 2 connesso a Ethereum, congelato 41 milioni di dollari in più. ONE piattaforma, uno scambio decentralizzato gestito dalla società OKX, ha sospeso del tutto i suoi servizi.

Per un momento, THORChain sembrò che avrebbe Seguici l'esempio. In risposta alla notifica dell'FBI, un gruppo di validatori THORChain si è coordinato per fermare gli swap Ethereum sul protocollo, una mossa volta a rallentare l'uscita di fondi illeciti. Ma la pausa è durata solo 30 minuti prima di essere annullata in seguito alla spinta della comunità.

"Non ci sono prove, né possono esserci, che una transazione firmata e propagata provenga da una specifica posizione geografica", ha detto Thorbjornsen a CoinDesk, sostenendo che eventuali collegamenti tra THORChain e la Corea del Nord sono "presunti" poiché gli utenti della rete non sono obbligati a registrarsi.

L'inversione della pausa si è rivelata un punto di rottura per alcuni nella comunità THORChain . "Con effetto immediato, non contribuirò più a THORChain", ha scritto lo sviluppatore principale del protocollo, noto come "Pluto", in un posta X.

Teatro della decentralizzazione?

Thorbjornsen e altri sostengono che THORChain dovrebbe essere trattato come un protocollo decentralizzato come Bitcoin o Ethereum, nessuno dei quali ha bloccato le transazioni dopo il furto di Bybit.

Indicano la comunità di oltre 100 validatori (computer che verificano le transazioni) come prova del fatto che nessuna singola entità controlla il sistema.

Il modello di governance di THORChain si basa su questi validatori che puntano il token RUNE nativo della rete per partecipare al consenso e guadagnare ricompense. In teoria, le principali decisioni di protocollo richiedono l'approvazione di una supermaggioranza di questi validatori, creando una struttura di potere distribuita resistente al controllo centralizzato.

I critici, tuttavia, sostengono che la rete non è minimamente decentralizzata come si dice. A gennaio, un singolo sviluppatoreha messo in pausa la retedurante una crisi di liquidità, un'azione che avrebbe dovuto richiedere il consenso del validatore se il sistema fosse stato più decentralizzato.

Quando THORChain era coinvolta in precedenti operazioni di riciclaggio nordcoreane, "ci è stato detto che non c'era nulla che potessero fare riguardo ai fondi illeciti", ha detto Monahan. "Per tutto il tempo, JP aveva una singola chiave privata che aveva il controllo sull'intero sistema".

Thorbjornsen ammette che la catena è stata messa in pausa da un detentore di chiavi amministrative in un momento in cui THORChain stava affrontando una minaccia "esistenziale".

La pausa è stata annunciata da uno sviluppatore con lo pseudonimo "Leena". Thorbjornsen ha creato l'account Leena all'inizio dello sviluppo di THORChain e inizialmente lo ha utilizzato per nascondere la sua vera identità.

Ora afferma che l'account Leena non è più controllato esclusivamente da lui, e qualcun altro ha messo in pausa la catena in conformità con le procedure di sicurezza accettabili. "La chiave è stata usata da un detentore di chiavi — E non esiste alcun registro dei detentori di chiavi", ha detto.

Per Thorbjornsen, il dibattito su chi controllasse la chiave di amministrazione trascura il punto più importante.

"Nei primi due anni di esistenza di Bitcoin , si sarebbe potuto facilmente sostenere che Bitcoin fosse completamente centralizzato", ha detto a CoinDesk, sottolineando un caso nel 2010 in cuiSatoshi ha aggiornato la blockchain originale per correggere un bug importante.

"La decentralizzazione è guadagnata, e lo è guadagnata con anni di presenza nell'arena e di dimostrazione", ha detto Thorbjornsen. "Tutte queste cose come la pausa e la ripresa... fanno tutte parte del percorso della decentralizzazione".

Tutto come al solito

Il 1° marzo, il giorno di maggiore contrattazione per THORChain dopo il furto di Bybit, la rete ha registrato oltre 1 miliardo di dollari in swap, più di quanto normalmente elabora in un mese intero.

L'attività è stata una manna per i fornitori di infrastrutture di THORChain: servizi di portafoglio e validatori che prendono una percentuale su ogni transazione sulla rete.

Secondo la società di analisi forense blockchain Chainalysis, gli operatori dei nodi THORChain hanno guadagnato almeno 12 milioni di dollari in commissioni connesse al furto di Bybit. Chainalysis ha definito la sua stima "prudenziale".

Secondo gli esperti legali, queste commissioni sono ciò che potrebbe in ultima analisi mettere nei guai gli operatori di THORChain. Un ex funzionario del Dipartimento del Tesoro degli Stati Uniti ha avvertito in un'intervista con CoinDesk che "molto di questo si riduce semplicemente alla questione di chi sta facendo soldi: è un gruppo concentrato di persone, ed è relativamente risaputo che [i fondi] provengono da cattivi attori?"

Le app wallet come Vultisig e Asgardex sono state oggetto di particolare attenzione da parte degli esperti legali e di sicurezza, poiché le applicazioni "frontend" utilizzate per interagire con le blockchain sono generalmente considerate più centralizzate delle blockchain stesse.

Asgardex, ONE dei portafogli THORChain più popolari, ha guadagnato 1 milione di $ dalle transazioni collegate a Bybit, secondo Monahan. "Il motivo per cui usi Asgardex" al contrario di altri portafogli THORChain "è perché T vuoi essere tracciato, T vuoi filtrare o altro", ha detto Thorbjornsen, che ha contribuito a sviluppare il programma.

Thorbjornsen afferma di non avere più una quota operativa o finanziaria in Asgardex, che è open source e può tecnicamente essere riprogrammata dai suoi utenti per funzionare senza commissioni. Tuttavia, ha recentemente promosso attivamente VultiSig, il suo nuovo portafoglio THORChain resistente agli hacker.

Il 20 marzo Thorbjornsen si vantava di unposta X che più persone che mai stavano utilizzando l'app: "Finora gli swap Vultisig hanno raccolto 200.000 $ di entrate!" ZachXBT, un investigatore Cripto noto per aver indagato sulle operazioni informatiche della Corea del Nord, ha risposto sottolineando che "una buona parte di quelle entrate viene generata dall'hacking di Bybit".

"Vultisig non è una catena", ha affermato ZachXBT. "[T]a loro viene assegnata un'interfaccia centralizzata per consentire agli utenti di interagire con i protocolli a pagamento".

Il 16 aprile, Vultisig lancia il suo token Cripto ufficiale: VULT. Il token verrà distribuito gratuitamente ad alcuni degli utenti più fedeli del portafoglio.