Денежный след от точек взлома Liquid Exchange до кошельков Политика конфиденциальности Wasabi

По данным детективной компании Crystal Blockchain, хакеры, похитившие около 97 миллионов долларов в Криптовалюта с биржи Liquid, использовали некастодиальный, ориентированный на конфиденциальность кошелек Wasabi для защиты части своих доходов.

Bitcoin из кошельков Liquid идентифицированный как принадлежащий хакерам последние две недели находится в движении, показывают общедоступные данные блокчейна. Например, 29 августа 100 BTC (стоимостью более 4,8 млн долларов) из ONEСвязанный с хакером адрес был разделен иотправлено на два разных адреса, затем еще разбивается на более мелкие части и распространяется по еще большему количеству адресов.

По данным Crystal Blockchain, по крайней мере часть этих Bitcoin была затем отправлена ​​на адреса, предположительно сгенерированные кошельком Wasabi.

Это была ONE из многих подобных транзакций, которые хакеры провели с помощью Wasabi, предположительно, чтобы отключить украденные средства от своей криминальной истории, по словам Кристала. Это был бы необходимый шаг, чтобы потратить такие средства или продать их за фиатные деньги, поскольку централизованные биржи, как правило, замораживают средства, которые, как известно, поступают от взломов, эксплойтов и мошенничества.

По данным Crystal, с помощью функции CoinJoin отмыто более 437 BTC (стоимостью более 20 миллионов долларов), связанных с хакерами Liquid, и этот процесс все еще продолжается.

Ранее в этом месяце CoinDesk отслеживаемыйдругие средства были выведены из Liquid, при этом выяснилось, что эфир и токены ERC20 были отправлены в онлайн-миксер на базе EthereumТорнадо.кэши децентрализованные биржи (DEX).

Wasabi — это ориентированный на конфиденциальность десктопный кошелек, который позволяет пользователям сделать свои Bitcoin менее отслеживаемыми в публичном реестре, организовав так называемые транзакции CoinJoin. Несколько пользователей могут объединить свои Bitcoin в совместные транзакции и получить их обратно, отсоединив от предыдущей истории платежей. Он также направляет транзакции через сеть Tor, что дополнительно помогает скрыть IP-адрес пользователя.

Хотя Wasabi — это некастодиальный кошелек, который T хранит средства пользователей, он генерирует адреса для транзакций CoinJoin, которые инструменты аналитики блокчейна научились идентифицировать. Криптo детективная фирма Elliptic сделала это в прошлом году, следующий Bitcoin, происходящий от печально известного взлом Twitterпо адресам, связанным с Васаби.

По словам Кирилла Чихрадзе, директора по продуктам Crystal Blockchain, идентификация таких адресов сложнее, чем отнесение адресов к кастодиальным Криптo , поэтому Crystal проводит «множество повторных проверок перед окончательной маркировкой» адресов в своей аналитической системе.

Васаби не сразу отреагировал на Request прокомментировать ситуацию.

Поменяли местами и выкинули

По данным Crystal Blockchain, на кошельки, связанные с хакерами Liquid, в общей сложности поступило около 1168 BTC , большую часть которых они получили, обменивая другие криптовалюты на Bitcoin на нескольких биржах.

CoinDesk ранее сообщили что хакеры отправили украденные токены XRP на три биржи – Binance, Huobi и Poloniex – где им удалось обменять их на Bitcoin в первый же день после взлома. Этот запас Bitcoin был позже частично отмыт через адреса CoinJoin Wasabi, согласно Crystal.

Токены ERC20, работающие на блокчейне Ethereum , были отправлены на децентрализованные биржи (DEX), обменяны на эфир, а затем отправлены на Торнадо.кэш, онлайн-миксер для эфира. Некоторые токены также обменивались на Bitcoin на децентрализованной бирже RENВ результате в тайнике хакеров оказалось еще 394 BTC , сказал Чихрадзе.

«В течение почти двух недель хакеры использовали различные методы, чтобы замести следы — значительные объемы токенов XRP, ETH и ERC20 были либо конвертированы в BTC , либо смешаны через сервис смешивания Tornado», — сказал Чихрадзе.

Плюс несколько десятков BTC были переведены на несколько неопознанных кошельков и остались там на данный момент.

Liquid, японская Криптовалюта биржа, была взломанный18 августа. Около $97 миллионов в различных криптовалютах были выкачаны. Биржа немедленно начала публиковатьобновленияо взломе и адресах, на которые хакеры выводили деньги.

Несколько бирж работали с Liquid, чтобы пометить и заблокировать адреса, связанные с хакерами, которые они ранеерассказал CoinDesk. Однако во многих случаях хакерам удавалось вывести средства быстрее, чем реагировали биржи.

30 августа Liquid опубликовалобновлятьпризывая пользователей создавать новые депозитные кошельки.