Внутри любимого инструмента Северной Кореи для отмывания Криптo : THORChain

Джон-Пол Торбьёрнсен, бывший пилот ВВС Австралии, ставший Криптo , провел последние недели, продвигая свой новый Криптo «Vultisig». Кошелек, созданный на основе THORChain — блокчейна, который он основал для осуществления Криптo обменов без посредников, — главным преимуществом является то, что его сложнее взломать, чем аналогичные приложения.

Недавно Vultisig, как и сама сеть THORChain , увидели всплеск активности, однако эксперты по безопасности обнаружили тревожный источник этого роста: северокорейскую хакерскую группу Lazarus.

После февраляВзлом на 1,4 миллиарда долларов Криптo Bybit — крупнейшего киберограбления в истории — THORChain оказался в центре операций по отмыванию денег в Северной Корее. Исследователи отслеживал почти 1,2 миллиарда долларов — или 85% — украденных средств через сеть, которая стала основным инструментом режима Кима для перемещения Криптo между блокчейнами.

В отличие от некоторых других блокчейн-сервисов, операторы THORChain отказались блокировать транзакции, связанные с ограблением Bybit, несмотря на просьбы ФБР и других государственных органов. Кошельки THORChain , такие как Asgardex и Vultisig — инструменты, которые большинство людей используют для транзакций в сети — также T сдвинулись с места.

По оценкам исследователей безопасности блокчейна, которые общались с CoinDesk, основные разработчики и валидаторы кошельков THORChain, многие из которых публично идентифицированы и базируются в юрисдикциях со строгими правилами борьбы с отмыванием денег, включая США, заработали более 12 миллионов долларов в виде комиссий, связанных с кражей.

Торбьёрнсен, известный публично как JP Thor, настаивает, что больше не участвует в повседневной деятельности THORChain, но остается его самым заметным сторонником. «Протокол продолжает работать и обмениваться, несмотря на хаос», — сказал он CoinDesk. «На самом деле, все отлично».

Управление по контролю за иностранными активами США (OFAC) ранее уже санкционировало блокчейн-сервисы, используемые в связи с отмыванием денег, такие как приложение-миксер Tornado Cash (которое с тех пор было заблокировано).исключенный из листингапослерешение суда) и Битцлато, биржа. Прокуроры также предъявили обвинения операторам, стоящим за аналогичными платформами.

Для экспертов в области права и Криптo вопрос о том, следует ли относиться к THORChain — блокчейну первого уровня — иначе, чем к другим сервисам, возрождает фундаментальный спор, с которым сталкиваются практически все Криптo : действительно ли эта сеть децентрализована?

Критики утверждают, что это T — по крайней мере, по сравнению с популярными блокчейнами, такими как Bitcoin и Ethereum, которые заслужили меньше внимания за содействие незаконным транзакциям. Сторонники THORChain «утверждают, что он децентрализован, когда это удобно, но они наживаются на этом [взломе Bybit]», — сказал исследователь безопасности блокчейна Тейлор Монахан. «Это действительно плохой вид».

Комиссии за транзакции THORChain — особенно те, которые зарабатываются его приложениями-кошельками, которые поддерживаются небольшими командами разработчиков — еще больше усложняют его защиту. По словам бывшего чиновника Министерства финансов США, «любой, кто зарабатывает деньги на комиссиях, связанных с перемещением взломанных средств, которые уже были публично приписаны Lazarus и Северной Корее, потенциально имеет проблему OFAC».

Даже некоторые из самых ярых сторонников THORChain стали беспокоиться. «Когда подавляющее большинство ваших потоков — это украденные средства из Северной Кореи для крупнейшего ограбления в истории Human , это станет проблемой национальной безопасности», — предупредил разработчик THORChain , известный как «TCB» на Х«[T]то больше T игра».

Самый большой взлом в истории

Февральский взлом Bybit, крупной Криптo в Дубае, был масштабным даже по меркам группы Lazarus — элитного северокорейского киберподразделения, стоящего за большинством самые крупные Криптo кражипоследнего десятилетия.

Взлом произошел после того, как основатель Bybit был обманут и взаимодействовал с веб-сайтом, который Лазарус взломал. Эта ошибка предоставила хакерам доступ к некоторым основным кошелькам Bybit Ethereum . Они украли с биржи токены эфира (ETH) на сумму 1,4 млрд долларов.

Отмыватели денег из Северной Кореи, набравшиеся опыта за годы крупных краж Криптo , немедленно начали распределять свою рекордную добычу по нескольким новым Криптo — это первый шаг в сложном процессе, направленном на конвертацию грязной Криптo в чистые наличные.

«КНДР использует передовые технические возможности для отмывания Криптовалюта», — пояснил Эндрю Фирман, глава отдела национальной безопасности Chainalysis. После перемещения средств «через обширное количество промежуточных кошельков» отмыватели используют «мостовые мосты для перемещения украденных средств через различные активы, такие как Bitcoin, Ethereum, TRON, Solana и другие».

THORChain оказался незаменимым на этапе соединения, выступая в качестве посредника при обмене токенами между блокчейнами — часто неоднократном, чтобы сбить следователей со следа.

«До появления THORChain не было возможности перейти с Ethereum на Bitcoin , не рискуя при этом оказаться замороженным», — пояснил Монахан, исследователь по вопросам безопасности в MetaMask.

Централизованные своп-сервисы — включая Криптo вроде Coinbase и Binance — требуют от пользователей регистрировать свои аккаунты и рискуют быть арестованными незаконными средствами. Между тем, большинству децентрализованных сервисов не хватает ликвидности для поддержки транзакций в масштабах группы Lazarus.

Довести до сведения

На следующий день после взлома Bybit ежедневный объем свопов THORChain превысил $529 млн — это самый большой торговый день за всю историю, согласно данным DeFiLlama. Объемы продолжали расти в течение нескольких дней после этого, генерируя миллионы долларов в виде комиссий для валидаторов THORChain, поставщиков ликвидности и кошельковых сервисов.

27 февраля ФБР распространило список адресов блокчейна, связанных с КНДР, и настоятельно призвало «организации частного сектора, включая операторов узлов RPC, биржи, мосты, компании по аналитике блокчейнов, сервисы DeFi и других поставщиков услуг виртуальных активов, блокировать транзакции с [ними] или полученные от них».

К этому моменту многие другие Криптo инструменты, используемые северокорейскими отмывателями денег, уже начали блокировать деятельность, связанную с ограблениями.

Tether, крупнейший оператор стейблкоинов, в конечном итоге заморожено 9 миллионов долларовсвязанный с ограблением, и Мантл,блокчейн уровня 2 подключен к Ethereum, заморожен $41 млн больше. ONE платформа — децентрализованная биржа, управляемая компанией OKX — полностью приостановил свои услуги.

На мгновение показалось, что THORChain Социальные сети примеру. В ответ на уведомление ФБР группа валидаторов THORChain скоординировала действия по остановке свопов Ethereum в протоколе — шаг, призванный замедлить отток незаконных средств. Но пауза продлилась всего 30 минут, прежде чем она была отменена после сопротивления сообщества.

«Нет никаких доказательств, и их не может быть, что какая-либо подписанная и распространенная транзакция происходит из определенного географического местоположения», — сказал Торбьёрнсен CoinDesk, утверждая, что любые связи между THORChain и Северной Кореей являются «предполагаемыми», поскольку пользователи сети не обязаны регистрироваться самостоятельно.

Отмена паузы оказалась переломным моментом для некоторых членов сообщества THORChain . «С этого момента я больше не буду вносить свой вклад в THORChain», — написал в своем письме ведущий разработчик протокола, известный как «Плутон». X пост.

Театр децентрализации?

Торбьёрнсен и другие утверждают, что THORChain следует рассматривать как децентрализованный протокол, подобный Bitcoin или Ethereum, ни один из которых не блокировал транзакции после ограбления Bybit.

Они указывают на сообщество из более чем 100 валидаторов — компьютеров, проверяющих транзакции — как на доказательство того, что ни одна организация не контролирует систему.

Модель управления THORChain опирается на этих валидаторов, которые ставят на кон собственный токен сети RUNE для участия в консенсусе и получения вознаграждений. Теоретически, основные решения протокола требуют одобрения со стороны подавляющего большинства этих валидаторов, что создает распределенную структуру власти, устойчивую к централизованному контролю.

Критики, однако, утверждают, что сеть далеко не так децентрализована, как утверждается. В январе один разработчикприостановил работу сетиво время кризиса ликвидности — действие, которое должно было бы потребовать консенсуса валидатора, если бы система была более децентрализованной.

Когда THORChain участвовал в предыдущих операциях по отмыванию денег в Северной Корее, «нам сказали, что они ничего не могут сделать с незаконными средствами», — сказал Монахан. «Все это время у JP был один закрытый ключ, который контролировал всю систему».

Торбьёрнсен признает, что цепочка была приостановлена ​​административным владельцем ключа в тот момент, когда THORChain столкнулся с «экзистенциальной» угрозой.

Пауза была объявлена разработчиком под псевдонимом «Leena». Торбьёрнсен создал учетную запись Leena на раннем этапе разработки THORChain и изначально использовал ее, чтобы скрыть свою настоящую личность.

Теперь он говорит, что аккаунт Leena больше не контролируется им единолично, и кто-то другой приостановил цепочку в соответствии с приемлемыми процедурами безопасности. «Ключ использовался держателем ключа — и нет никакого реестра держателей ключей», — сказал он.

По мнению Торбьёрнсена, спор о том, кто контролировал ключ администратора, упускает из виду более важный момент.

«В первые пару лет существования Bitcoin можно было легко доказать, что Bitcoin полностью централизован», — сказал он CoinDesk, указав на случай в 2010 году, когдаСатоши обновил оригинальный блокчейн, чтобы исправить серьезную ошибку.

«Децентрализация заслужена, и она заслужена годами нахождения на арене и доказательствами этого», — сказал Торбьёрнсен. «Все эти вещи, такие как пауза и возобновление паузы… все это часть пути децентрализации».

Бизнес как обычно

1 марта, в самый крупный торговый день THORChain после ограбления Bybit, сеть зафиксировала более 1 миллиарда долларов в свопах — больше, чем она обычно обрабатывает за целый месяц.

Эта деятельность оказалась выгодной для поставщиков инфраструктуры THORChain — сервисов кошельков и валидаторов, которые получают процент от каждой транзакции в сети.

По данным компании Chainalysis, занимающейся криминалистикой блокчейна, операторы узлов THORChain заработали не менее $12 млн в виде комиссий, связанных с ограблением Bybit. Chainalysis назвала свою оценку «консервативной».

По мнению экспертов в области права, именно эти сборы в конечном итоге могут доставить операторам THORChain неприятности. Бывший чиновник Министерства финансов США предупредил в интервью CoinDesk , что «многое из этого сводится к вопросу о том, кто зарабатывает деньги: это концентрированная группа людей, и относительно ли известно, что [средства] поступают от недобросовестных лиц?»

Приложения-кошельки, такие как Vultisig и Asgardex, заслужили особое внимание со стороны экспертов по праву и безопасности, поскольку «фронтенд-приложения», используемые для взаимодействия с блокчейнами, обычно считаются более централизованными, чем сами блокчейны.

Asgardex, ONE из самых популярных кошельков THORChain , заработал $1 млн на транзакциях, связанных с Bybit, по словам Монахана. «Причина, по которой вы используете Asgardex» в отличие от других кошельков THORChain , «заключается в том, что вы T хотите отслеживания — вам T нужна фильтрация или что-то в этом роде», — сказал Торбьёрнсен, который помогал разрабатывать программу.

Торбьёрнсен говорит, что у него больше нет операционной или финансовой доли в Asgardex, который имеет открытый исходный код и технически может быть перепрограммирован пользователями для работы без комиссий. Однако в последнее время он активно продвигал VultiSig, свой новый защищенный от взлома кошелек THORChain .

20 марта Торбьёрнсен похвасталсяX пост что приложением пользуется больше людей, чем когда-либо: «Обмены Vultisig уже принесли 200 тысяч долларов дохода!» ZachXBT, Криптo сыщик, известный расследованием киберопераций Северной Кореи, ответил, указав, что «значительная часть этого дохода поступает от взлома Bybit».

«Vultisig — это не цепочка», — сказал ZachXBT. «[T] Они управляют централизованным интерфейсом, позволяющим пользователям взаимодействовать с протоколами за плату».

16 апреля Vultisig запускает свой официальный Криптo токен: VULT. Токен будет распространяться бесплатно среди некоторых самых лояльных пользователей кошелька.