Elliptic обнаружила связь России с отмыванием украденных у FTX активов

Ftx-min
Ftx-min

С большой вероятностью в отмывании части средств, похищенных у FTX в ноябре 2022 года, участвовал связанный с РФ брокер или другой посредник. К такому выводу пришли эксперты Elliptic.

Взломщик начал несанкционированный вывод средств в день подачи биржей заявления о банкротстве. За несколько часов он изъял из кошельков платформы $477 млн в различных криптовалютах.

Elliptic обнаружила связь России с отмыванием украденных у FTX активов
Украденные у FTX криптоактивы. Данные: Elliptic.

Из украденных активов $434 млн составили стейблкоины и другие токены, эмитенты которых могли заморозить средства по запросу. Частично так и произошло, например, с $31,5 млн в USDT.

Чтобы избежать дальнейших блокировок, хакер начал переводить криптовалюты в Ethereum. Он использовал для конвертации децентрализованные биржи, включая Uniswap и PancakeSwap, и задействовал кроссчейн-мосты Multichain и Wormhole.

Уже через три дня после взлома на Ethereum-аккаунте злоумышленника хранилось 245 000 ETH (~$306 млн на момент написания). Эксперты Elliptic отметили, что его добыча к тому моменту «значительно сократилась» из-за конфискаций и затрат на срочные свопы.

20 ноября 65 000 ETH из кошелька были переведены в блокчейн биткоина через кроссчейн-протокол RenBridge, принадлежащий Alameda Research — дочерней компании FTX.

Из полученных после конвертации 4536 BTC хакер отправил 2849 BTC в сервисы микширования, преимущественно в ChipMixer. Аналитики определили, что этим путем активы примерно на $4 млн были обналичены через биржи.

«Значительные суммы украденных активов, которые можно отследить с помощью ChipMixer, объединяются со средствами связанных с Россией преступных группировок, в том числе, занимающихся вымогательством и даркнет-рынками, а затем отправляются на биржи. Это указывает на участие брокера или другого посредника, имеющего связи в РФ», — подчеркнули эксперты Elliptic.

Оставшиеся в кошельке злоумышленника 180 000 ETH лежали без движения следующие девять месяцев. 30 сентября 2023 года хакер возобновил операции по отмыванию средств.

Однако RenBridge прекратил работу вскоре после краха FTX. В марте 2023 года власти США, Германии и ряда европейских стран отключили инфраструктуру миксера ChipMixer и изъяли средства на платформе.

Поэтому взломщик продолжил реализацию схемы с помощью кроссчейн-моста THORChain и сервиса микширования Sinbad. 

Последний часто задействует группировка Lazarus Group, обвиняемая в ряде крупнейших криптовалютных взломов. Это дало почву для предположений, что она же стоит за кражей средств FTX. Но аналитики Elliptic обратили внимание, что северокорейские хакеры прибегают к более изощренным и сложным методам легализации денег, чем у взломщика биржи.

Напомним, по подсчетам экспертов компании, объем незаконных криптоактивов, отмытых с использованием кроссчейн-операций, достиг рекордных $7 млрд за год

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK