Это составляет более половины из примерно 400 000 ETH, выведенных с биржи, — не считая других выведенных токенов.
- По данным Arkham Intelligence, отслеживающей цифровые кошельки, связанные с хакерской группой, не менее 240 миллионов долларов из этой суммы были отмыты с использованием THORchain. Украденная криптовалюта «в основном была обменяна на нативный BTC», — сообщил Arkham в посте на X.
В прошлую пятницу компания Arkham Intelligence, ссылаясь на информацию, предоставленную интернет-сыщиком ZachXBT, сообщила, что северокорейская Lazarus Group взломала Bybit и похитила более 1,5 миллиарда долларов.
- Федеральное бюро расследований подтвердило, что взлом был совершен северокорейской группой злоумышленников «TraderTraitor», в которую входит и группа Lazarus.
По словам экспертов по безопасности Ethereum, кибератака на 1,5 миллиарда долларов была более скрытой, чем обычно. Lazarus связан с практикой финансирования проектов и использованием нескольких методов перевода средств, но эта конкретная уловка включала тысячи отдельных транзакций.
- Вот как выглядит отслеживание появления взлома Bybit, сказал SomaXBT, псевдоним, который исследовал сложную природу разделенных средств. Это безнадежная попытка отследить 2 перехода (по 10 ETH каждый). Мой Mаc Аir буквально сгорает при загрузке этих транзакций.
В целом, хакеры украли более 400 000 ЕТН (около $1,1 млрд на тот момент), 90 000 stETH, 15 000 cmETH и 8 000 cETH в результате нарушения. Однако неизвестно, сколько ETH у хакеров; в настоящее время удерживается $43 млн в mETH.
Изменения в ThorChain
Монахан из Metamask подсчитала, что хакеры перевели не менее 161 490 ETH (стоимостью $370 млн по текущим ценам), используя 3 934 различных транзакции в ThorChain за последние 115 часов с момента взлома. Это составляет большую часть из 209 384 ETH, которые, по ее мнению, были переведены в Bitcoin, объяснила она The Block.
Это составило $3,2 млн в час, сказала она.
Lazarus, по-видимому, использовал два важных незащищенных моста для атаки, первым из которых был вышеупомянутый ThorChain, а вторым был eXch. Однако eXch в первую очередь известен отсутствием надзора KYC, это, по-видимому, отключает токены ETH и ERC-20 для обмена, что ограничило бы возможность хакеров переводить средства в Bitcoin.
- Согласно данным блокчейна, из 161 490 ETH, которые, как подтверждено, прошли через платформу кросс-чейн обмена ThorChain, хакеры использовали множество блокчейн-инструментов для взлома, включая Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet и другие.
В среду объем торгов на ThorChain был самым большим за день: объем обмена токенами превысил 737 миллионов долларов.
- «Это все от хакеров Lazarus», — сказал пользователь ThorChain @diplo на X. «Но кого это на самом деле волнует, что это победа TC. Единственное беспокойство — что произойдет с ценой, когда эти свопы прекратятся. BTC сейчас истекает кровью, если бы у нас этого не было, я не думаю, что мы были бы выше 1 доллара прямо сейчас».
Собственный токен ThorChain торговался по пиковой цене выше $1,60 с момента взлома, что является локальным максимумом недавнего времени, но он далек от максимума выше $10 в 2024 году, а исторический максимум составляет $19,30, согласно даннымПо данным страницы The Block.
- «То, что Thorchain ничего не делает, чтобы остановить движение украденных ETH через свою платформу, добром не кончится», — написал @AirdropGlideapp в X. «Забавно, как один человек может закрыть ThorFi за 2 минуты, но когда дело доходит до того, чтобы остановить отмывание Северной Кореей миллиардов долларов Ethereum через Thorchain, с этим внезапно становится невозможно что-либо сделать!»
Остановить потоки?
Согласно нескольким сообщениям на X, имело место внутреннее разделение относительно потоков, связанных с Lazarus. Ранее в четверг три валидатора проголосовали за отклонение транзакций, связанных со взломом Bybit, что, по-видимому, временно остановило потоки. Однако «голосование было отменено в течение нескольких минут» из-за чрезвычайно децентрализованного механизма консенсуса, лежащего в основе ThorChain, который сохраняет опциональность валидатора , объяснил один пользователь.
Примечательно, что псевдонимный основной разработчик THORChain «Pluto» выступал за решение проблемы отмывания денег в блокчейне, прежде чем объявить о своем уходе из проекта. TCB, один из трех валидаторов, проголосовавших за прекращение торговли ETH THORChain, также заявил, что он изо всех сил пытается найти способы предотвращения отмывания денег Северной Кореей.
- «Когда подавляющее большинство ваших потоков — это украденные средства из Северной Кореи для крупнейшего ограбления в истории, это будет уже вопрос национальной безопасности, это больше не игры», — заявил TCB на X, добавив, что ThorChain «недостаточно децентрализован», чтобы пережить регулирующую атаку. «У сообщества TC есть твердые убеждения, основанные на том, что они узнают из сообщений, которые не связаны с реальностью людей, которые работали на передовой».
Сразу после опустошения холодного кошелька Bybit Лазарус переместил украденные средства на три отдельных адреса «распределения» — 0xB4a, 0x23Ob и 0x83E — а затем разбил их на десятки новых адресов. Группа также обменивала производные ETH, такие как stETH и cETH, на ETH, используя децентрализованные биржи Uniswap, Paraswap и KyberSwap.
- Основной создатель протокола THORChain, которого зовут Pluto, объявил о своем уходе. За этим действием последовало отклонение голосования относительно блокировки транзакций, проведенных хакерами, связанными с бандой Lazarus в недавнем взломе Bybit.
С этого момента программист больше не будет участвовать в разработке THORChain.
Он заявил, что останется доступным в течение переходного периода.
Комментируя решение Pluto, валидатор с псевдонимом TCB также сказал, что он будет готов уйти, если протокол не предпримет мер по прекращению потока незаконных средств. Оператор узла был одним из трех лиц, проголосовавших за остановку.
«Остановка цепочки — практичный метод. Для того, чтобы стать частью группы, необходимо три одобрения. Для отмены — 4. Голосование было отменено через несколько минут. «Децентрализация в действии», — пояснил разработчик THORChain Олег Петров.
- Вместе с Pluto и TCB, сторонник блокировки денег, выделенных хакерам. По его словам, он не контролирует узел и не может участвовать в принятии решений об управлении, но он создал необходимый код.
Лазарус использовал THORChain в процессе отмывания криптовалюты на сумму 1,46 млрд долларов, украденной с биржи Bybit. По данным Lookonchain, хакеры перевели протоколу 605 млн долларов в ETH, что составляет примерно 270 000 долларов.
Один аналитик правильно заметил, что протокол не отмывает деньги намеренно, а вместо этого позволяет обмениваться средствами. По его словам, можно отслеживать дальнейшее движение активов.
- Объем ежедневных транзакций на THORChain значительно увеличился после атака на Bybit. 26 февраля эта цифра составляла около $860 млн, на следующий день — $705 млн.
Данные: THORChain Explorer.
Федеральное бюро расследований признало, что Лазарус участвовал в краже валюты. Агентство опубликовало список адресов Ethereum группы и рекомендовало криптовалютным платформам не взаимодействовать с этими счетами.
- Когда большая часть ваших потоков отбирается у северокорейцев в ходе величайшего ограбления в истории человечества, это становится вопросом национальной безопасности и больше не считается игрой.
Другое сообщение указывало на то, что валидатор считал, что в нынешних условиях невозможно полагаться на масштаб протокола из-за притока институционального капитала. Учреждение не позволит, чтобы его средства были связаны с незаконным доходом, пояснил он.
DeFi Llama сообщила, что стоимость TVL в пуле ликвидности THORChain снизилась с $445 млн до $185 млн на момент написания статьи.
Напомним, что в начале этого месяца валидаторы протокола одобрили предложение о выплате долга путем создания нового токена стоимостью 200 миллионов долларов.
- Разработчик THORChain отказался от участия, а валидатор угрожает последовать его примеру, поскольку сообщается, что северокорейские хакеры отправили через протокол криптовалюту на сумму 605 миллионов долларов.
Разработчик THORChain заявил, что отказывается от криптопротокола после того, как голосование за блокировку переводов, связанных с северокорейскими хакерами, было отменено, в то время как другой валидатор также пригрозил прекратить работу из-за этой истории.
- «С данного момента я больше не буду принимать участие в работе над THORChаin», — написал в сообщении X от 27 февраля основной разработчик протокола кроссчейн-обмена, известный только как «Pluto».
Плутон заявил, что они будут доступны «до тех пор, пока я буду нужен, и для обеспечения упорядоченной передачи моих обязанностей».
- Выход Pluto произошел после того, как валидатор THORChаin «TCB» заявил на Х, что они были одними из трёх валидаторов, проголосовавших за остановку Ether торгов по протоколу с целью пресечения деятельности северокорейского хакерского коллектива Lazarus Group.
Это голосование «было отменено через несколько минут», — сказал разработчик THORSwаp Олег Петров. «Остановка цепочки — это операционная настройка. Для ее эффективности требуется 3 голоса узлов. 4 — для отмены», — пояснил он.
Позднее ТСВ написала на Х, что они также выйдут, «если мы быстро не примем решение по прекращению северокорейских потоков».
Группа Lazarus использовала THORChаin для перемещения части криптовалюты на сумму 1,5 миллиарда долларов, украденной ею с криптовалютной биржи Bybit 21 февраля. 28 февраля Lookonchain сообщил X, что группа отправила ЕТН на сумму 604 миллионов долларов через THORChain.
Источник: Lookonchain
Объемы THORChain взлетели, и протокол обработал почти $860 млн свопов 26 февраля — самый большой ежедневный объем. Рост объемов продолжался до 27 февраля, завершив день на уровне около $705 млн.
- Тем временем ФБР призвало криптовалидаторов и биржи отключить Lazarus Group и доказало более ранние уведомления о том, что за рекордным взломом Bybit стоит Северная Корея.
В отдельных сообщениях X Торбьёрнсен заявил, что он «не обращался в какой-либо орган и не знает ни об одном узле, который бы обращался», и что протокол «не отмывает деньги». Он добавил EТH Lazаrus Group к Bitcoin.
Свопы обычно оказываются на централизованных биржах, «где их обменивают на фиат».
«Если какой-либо узел теперь не чувствует себя удобно, участвуя в сети, он может выйти из неё», — сказал он. «THORChain может легко расширяться или сокращаться по мере необходимости».
Они добавили, что некоторые проектные решения усложнили подключение новых валидаторов, и в результате «не так много участников управляют всем процессом».
- «Это горстка участников, управляющих всей инфраструктурой, и горстка корпоративных участников, обеспечивающих все пользовательские потоки».
TCB заявил, что эти корпоративные субъекты «УЖЕ ВСЕ подвергают цензуре транзакции на своих интерфейсах».
- «Я понимаю, что многие из них уйдут, если THORChain продолжит в том же духе», — заявили они.