Пт. Ноя 22nd, 2024

С большой вероятностью в отмывании части средств, похищенных у FTX в ноябре 2022 года, участвовал связанный с РФ брокер или другой посредник. К такому выводу пришли эксперты Elliptic.

Взломщик начал несанкционированный вывод средств в день подачи биржей заявления о банкротстве. За несколько часов он изъял из кошельков платформы $477 млн в различных криптовалютах.

Из украденных активов $434 млн составили стейблкоины и другие токены, эмитенты которых могли заморозить средства по запросу. Частично так и произошло, например, с $31,5 млн в USDT.

Чтобы избежать дальнейших блокировок, хакер начал переводить криптовалюты в Ethereum. Он использовал для конвертации децентрализованные биржи, включая Uniswap и PancakeSwap, и задействовал кроссчейн-мосты Multichain и Wormhole.

Уже через три дня после взлома на Ethereum-аккаунте злоумышленника хранилось 245 000 ETH (~$306 млн на момент написания). Эксперты Elliptic отметили, что его добыча к тому моменту «значительно сократилась» из-за конфискаций и затрат на срочные свопы.

20 ноября 65 000 ETH из кошелька были переведены в блокчейн битоина через кроссчейн-протокол RenBridge, принадлежащий Alameda Research — дочерней компании FTX.

Из полученных после конвертации 4536 BTC хакер отправил 2849 BTC в сервисы микширования, преимущественно в ChipMixer. Аналитики определили, что этим путем активы примерно на $4 млн были обналичены через биржи.

«Значительные суммы украденных активов, которые можно отследить с помощью ChipMixer, объединяются со средствами связанных с Россией преступных группировок, в том числе, занимающихся вымогательством и даркнет-рынками, а затем отправляются на биржи. Это указывает на участие брокера или другого посредника, имеющего связи в РФ», — подчеркнули эксперты Elliptic.

Оставшиеся в кошельке злоумышленника 180 000 ETH лежали без движения следующие девять месяцев. 30 сентября 2023 года хакер возобновил операции по отмыванию средств.

Однако RenBridge прекратил работу вскоре после краха FTX. В марте 2023 года власти США, Германии и ряда европейских стран отключили инфраструктуру миксера ChipMixer и изъяли средства на платформе.

Поэтому взломщик продолжил реализацию схемы с помощью кроссчейн-моста THORChain и сервиса микширования Sinbad. 

Последний часто задействует группировка Lazarus Group, обвиняемая в ряде крупнейших криптовалютных взломов. Это дало почву для предположений, что она же стоит за кражей средств FTX. Но аналитики Elliptic обратили внимание, что северокорейские хакеры прибегают к более изощренным и сложным методам легализации денег, чем у взломщика биржи.

Напомним, по подсчетам экспертов компании, объем незаконных криптоактивов, отмытых с использованием кроссчейн-операций, достиг рекордных $7 млрд за год