Як дослідник блокчейну ZachXBT викрив багатомовний крадіжку криптовалюти на $282 мільйонів у кількох ланцюгах

В ніч з 10 січня розгорталася одна з найбільших у історії індивідуальних крадіжок криптовалют у реальному часі на блокчейні. Що зробило цей випадок особливо значущим, так це не вразливість у коді чи експлуатація протоколу — це був майстер-клас у соціальній інженерії, який обійшов навіть найкращі стандарти безпеки апаратних гаманців. За кілька годин з одного жертви було вкрадено понад 282 мільйони доларів у Bitcoin і Litecoin. Але справжнє розслідування цього випадку лише починалося: блокчейн-детектив ZachXBT і компанія з безпеки PeckShield почали свою гонку з часом, щоб відстежити викрадені активи.

Людський фактор: як соціальна інженерія перемогла апаратну безпеку

З першого погляду, налаштування жертви здавалося майже непроникним. Апаратні гаманці, такі як Trezor, постійно хвалять як найнадійніше рішення для зберігання — імунітет до зломів бірж, шкідливого ПЗ і більшості традиційних кіберзагроз. Однак кожен рівень безпеки має людський компонент, і саме тут атака знайшла свою вразливість.

Згідно з розслідувальними звітами, зловмисник здійснив надзвичайно переконливу шахрайську імітацію. Жертву зв’язали з підтримкою під виглядом “Trezor Value Wallet”. За допомогою складних тактик соціальної інженерії зловмисник поступово створював довіру та авторитет у цілі. Коли цей контакт був встановлений, зловмисник попросив у жертви фразу-сід — головний ключ, що відкриває всі кошти у гаманці незалежно від фізичної безпеки пристрою.

Коли фраза-сід була скомпрометована, апаратний гаманець став неважливим. Зловмисник отримав повний контроль над цифровими активами жертви.

Гонка за відстеженням $282 мільйонів: багатосхиловий канал відмивання

ZachXBT і PeckShield одразу зрозуміли, що відбувається: зловмисник рухався з точністю та швидкістю, щоб приховати викрадені кошти до того, як слідчі зможуть встановити закономірності. Виклик був величезним. Як тільки кошти потрапляють у публічні блокчейни, кожна транзакція теоретично видима — але тільки якщо вдається відстежити їх до того, як вони навмисно приховуються.

Стратегія зловмисника розгорталася у кілька етапів:

Спершу, крос-ланцюгова конверсія. За допомогою THORChain, децентралізованого протоколу ліквідності, що працює без вимог Know-Your-Customer (KYC), зловмисник конвертував приблизно 71 мільйон доларів активів. Близько 928.7 BTC було обміняно між різними блокчейн-мережами, включаючи біржі для Ethereum і Ripple XRP. На відміну від традиційних централізованих бірж, дозволений характер THORChain означав, що зловмисник міг виконувати ці великі обміни без підтвердження особи.

Далі, приватність і шарування. Коли значні суми потрапили до мережі Ethereum, зловмисник застосував додаткові техніки обфускації. Близько 1,468.66 ETH (оцінювано приблизно у $4.9 мільйонів) було спрямовано через Tornado Cash — протокол міксерів приватності. Ці міксери працюють, об’єднуючи кошти кількох користувачів, навмисно руйнуючи прозоре з’єднання між вхідними та вихідними адресами — роблячи майже неможливим відстеження походження викрадених коштів або їх кінцевого місця призначення.

Зрештою, конверсія у монети з високою приватністю. Значні частки були також обміняні на Monero — криптовалюту, орієнтовану на приватність, створену спеціально для приховування деталей транзакцій на рівні протоколу. Раптовий приплив таких великих покупок Monero навіть спричинив тимчасовий ціновий сплеск.

Цей багатошаровий підхід — поєднання швидкості та крос-ланцюгової доступності DEX-протоколів із навмисною непрозорістю міксерів і монет — створив складну схему відмивання, яка випробувала можливості розслідування ZachXBT до межі.

Контекст ринку: коли крадіжка зустріла волатильність

Часовий проміжок цього інциденту збігся із ширшими коливаннями ринку. У той самий 10 січня криптовалютні ринки вже переживали макроекономічні шоки. Bitcoin знизився на 2.26% до $93,075, а Litecoin — на 7.19%, згідно з даними ринку. Ця волатильність ускладнювала швидке виявлення крадіжки — незвичайні обсяги транзакцій могли частково бути зумовлені загальним хаосом на ринку, а не підозрілою діяльністю.

Прогрес у боротьбі з організованими злочинними мережами

Хоча окремі жертви продовжують зазнавати втрат, є обнадійливі ознаки скоординованих правоохоронних дій. Нещодавно Європол і міжнародні правоохоронні органи успішно ліквідували масштабну мережу шахрайства та відмивання грошей, що діяла у кількох країнах. Ця мережа організувала крадіжки на суму понад €700 мільйонів від тисяч жертв. Це демонструє, що навіть складні транснаціональні злочинні операції можна проникнути і зірвати завдяки наполегливому розслідуванню.

Основні уроки: еволюція загроз безпеці у криптовалюті

Розслідування ZachXBT щодо цього крадіжки на $282 мільйони висвітлює кілька важливих істин про сучасну криптобезпеку:

Апаратні гаманці мають проблему людського фактору. Жоден рівень безпеки на рівні пристрою не може захистити від складної соціальної інженерії, яка переконує легітимних користувачів добровільно здати свої фрази-сід. Найслабше місце залишається між клавіатурою і стільцем.

Крос-ланцюгові протоколи стали неусвідомленою інфраструктурою відмивання грошей. Хоча протоколи DEX, такі як THORChain, мають легітимне застосування у децентралізованих фінансах, їх дозволений характер і крос-ланцюгова взаємодія неумисно перетворилися на потужні інструменти для приховування викрадених активів у масштабах.

Інструменти приватності займають сіру зону. Міксери та монети приватності були створені для захисту приватності користувачів — це легітимна мета. Однак вони одночасно слугують ефективними механізмами відмивання злочинних доходів, і технологія не може легко розрізнити ці випадки.

Випадок, відслідкований ZachXBT, не є провалом криптотехнологій, а скоріше демонстрацією того, як злочинці адаптують свої тактики, щоб експлуатувати саме ті функції, що роблять блокчейн привабливим: прозорість може перетворитися на недолік через багатошарову обфускацію, а дозволені системи дозволяють швидко рухати кошти, поки правоохоронці не зреагують.