Это составляет более половины из примерно 400 000 ETH, выведенных с биржи, — не считая других выведенных токенов.

По данным Arkham Intelligence, отслеживающей цифровые кошельки, связанные с хакерской группой, не менее 240 миллионов долларов из этой суммы были отмыты с использованием THORchain. Украденная криптовалюта «в основном была обменяна на нативный BTC», — сообщил Arkham в посте на X.

В прошлую пятницу компания Arkham Intelligence, ссылаясь на информацию, предоставленную интернет-сыщиком ZachXBT, сообщила, что северокорейская Lazarus Group взломала Bybit и похитила более 1,5 миллиарда долларов.

Федеральное бюро расследований подтвердило, что взлом был совершен северокорейской группой злоумышленников «TraderTraitor», в которую входит и группа Lazarus.

По словам экспертов по безопасности Ethereum, кибератака на 1,5 миллиарда долларов была более скрытой, чем обычно. Lazarus связан с практикой финансирования проектов и использованием нескольких методов перевода средств, но эта конкретная уловка включала тысячи отдельных транзакций.

Вот как выглядит отслеживание появления взлома Bybit, сказал SomaXBT, псевдоним, который исследовал сложную природу разделенных средств. Это безнадежная попытка отследить 2 перехода (по 10 ETH каждый). Мой Mаc Аir буквально сгорает при загрузке этих транзакций.

В целом, хакеры украли более 400 000 ЕТН (около $1,1 млрд на тот момент), 90 000 stETH, 15 000 cmETH и 8 000 cETH в результате нарушения. Однако неизвестно, сколько ETH у хакеров; в настоящее время удерживается $43 млн в mETH.

Изменения в ThorChain

Монахан из Metamask подсчитала, что хакеры перевели не менее 161 490 ETH (стоимостью $370 млн по текущим ценам), используя 3 934 различных транзакции в ThorChain за последние 115 часов с момента взлома. Это составляет большую часть из 209 384 ETH, которые, по ее мнению, были переведены в Bitcoin, объяснила она The Block.

Это составило $3,2 млн в час, сказала она.

Lazarus, по-видимому, использовал два важных незащищенных моста для атаки, первым из которых был вышеупомянутый ThorChain, а вторым был eXch. Однако eXch в первую очередь известен отсутствием надзора KYC, это, по-видимому, отключает токены ETH и ERC-20 для обмена, что ограничило бы возможность хакеров переводить средства в Bitcoin.

Согласно данным блокчейна, из 161 490 ETH, которые, как подтверждено, прошли через платформу кросс-чейн обмена ThorChain, хакеры использовали множество блокчейн-инструментов для взлома, включая Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet и другие.

В среду объем торгов на ThorChain был самым большим за день: объем обмена токенами превысил 737 миллионов долларов.

«Это все от хакеров Lazarus», — сказал пользователь ThorChain @diplo на X. «Но кого это на самом деле волнует, что это победа TC. Единственное беспокойство — что произойдет с ценой, когда эти свопы прекратятся. BTC сейчас истекает кровью, если бы у нас этого не было, я не думаю, что мы были бы выше 1 доллара прямо сейчас».

Собственный токен ThorChain торговался по пиковой цене выше $1,60 с момента взлома, что является локальным максимумом недавнего времени, но он далек от максимума выше $10 в 2024 году, а исторический максимум составляет $19,30, согласно даннымПо данным страницы The Block.

«То, что Thorchain ничего не делает, чтобы остановить движение украденных ETH через свою платформу, добром не кончится», — написал @AirdropGlideapp в X. «Забавно, как один человек может закрыть ThorFi за 2 минуты, но когда дело доходит до того, чтобы остановить отмывание Северной Кореей миллиардов долларов Ethereum через Thorchain, с этим внезапно становится невозможно что-либо сделать!»

Остановить потоки?

Согласно нескольким сообщениям на X, имело место внутреннее разделение относительно потоков, связанных с Lazarus. Ранее в четверг три валидатора проголосовали за отклонение транзакций, связанных со взломом Bybit, что, по-видимому, временно остановило потоки. Однако «голосование было отменено в течение нескольких минут» из-за чрезвычайно децентрализованного механизма консенсуса, лежащего в основе ThorChain, который сохраняет опциональность валидатора , объяснил один пользователь.

Примечательно, что псевдонимный основной разработчик THORChain «Pluto» выступал за решение проблемы отмывания денег в блокчейне, прежде чем объявить о своем уходе из проекта. TCB, один из трех валидаторов, проголосовавших за прекращение торговли ETH THORChain, также заявил, что он изо всех сил пытается найти способы предотвращения отмывания денег Северной Кореей.

«Когда подавляющее большинство ваших потоков — это украденные средства из Северной Кореи для крупнейшего ограбления в истории, это будет уже вопрос национальной безопасности, это больше не игры», — заявил TCB на X, добавив, что ThorChain «недостаточно децентрализован», чтобы пережить регулирующую атаку. «У сообщества TC есть твердые убеждения, основанные на том, что они узнают из сообщений, которые не связаны с реальностью людей, которые работали на передовой».

Сразу после опустошения холодного кошелька Bybit Лазарус переместил украденные средства на три отдельных адреса «распределения» — 0xB4a, 0x23Ob и 0x83E — а затем разбил их на десятки новых адресов. Группа также обменивала производные ETH, такие как stETH и cETH, на ETH, используя децентрализованные биржи Uniswap, Paraswap и KyberSwap.

Основной создатель протокола THORChain, которого зовут Pluto, объявил о своем уходе. За этим действием последовало отклонение голосования относительно блокировки транзакций, проведенных хакерами, связанными с бандой Lazarus в недавнем взломе Bybit.

С этого момента программист больше не будет участвовать в разработке THORChain.

Разработчик THORChain прекращает работу