Аналитики заявили о связи взломщиков FTX с российскими киберпреступниками
- В ноябре 2022 года хакер украл у криптобиржи FTX $477 млн.
- Некоторые из украденных активов были объединены с другими средствами, которые связывают с российскими преступными группировками.
- Аналитики сообщили, что злоумышленник потерял $94 млн на комиссиях и из-за того, что эмитенты могли замораживать средства.
11 ноября 2022 года криптовалютная биржа FTX подала заявление о банкротстве, позже в тот же день платформа подверглась хакерской атаке. Аналитики из компании Elliptic предположили, что к взлому криптобиржи могли быть причастны связанные с РФ злоумышленники.
По их данным, сначала злоумышленник переместил 9500 ETH (на тот момент их стоимость составляла $15,5 млн) с кошелька FTX на новый адрес.
В течение следующих нескольких часов с остальных кошельков было похищено криптоактивов на сумму $477 млн. Команда FTX заявляла об общих убытках из-за «несанкционированных переводов третьим лицам» в около $413 млн. Эксперты Elliptic отметили, что расхождение в цифрах, вероятно, связано с возвратом некоторых похищенных активов.
Как стало известно ранее, хакер мог похитить гораздо больше, однако сотрудники компании отреагировали быстро и перевели на кошелек консультанта FTX от $400 до $500 млн.
Из всех похищенных криптовалют $434 млн составляли стейблкоины и другие токены, многие из которых могут заморозить их эмитенты в случае, если есть предположение, что они были украдены. Например, в ходе этого инцидента эмитенту USDT — Tether — удалось заблокировать $31,5 млн.
Чтобы избежать дальнейшего изъятия, злоумышленник начал конвертировать похищенные токены в монеты вроде Ethereum. После этого он переместил средства в разные сети, чтобы усложнить их отслеживание.
Позже украденные активы были смешаны с другими средствами, которые связывают с российскими преступными группировками, с помощью мостов Multichain и Wormhole.
К этому моменту прошло уже три дня, а на кошельке хакера хранилось 245 000 ETH на сумму около $306 млн, поскольку $94 млн он потратил на комиссии, а часть заморозили эмитенты.
В течение пяти дней монеты Ethereum находились на кошельке, но 20 ноября 65 000 ETH были переведены в 4536 BTC с помощью кроссчейн-моста RenBridge, который принадлежал компании, связанной хедж-фондом Alameda Research. Исследование Elliptic ранее показало, что этот сервис использовался для отмывания незаконных активов на сумму более полумиллиарда долларов.
«2849 BTC были отправлены через миксеры, большинство — с помощью ChipMixer. Отследить эти активы становится все сложнее, однако по меньшей мере $4 млн перевели на биржи, откуда их могли обменять на наличные», — заявили в Elliptic.
После этого 180 000 ETH оставались на кошельке в течение 9 месяцев. 30 сентября 2023 года хакер снова обменял 72 500 ETH в биткоины, но через децентрализованную биржу THORSwap. Уже 6 октября сервис приостановил работу интерфейса из-за возможного перемещения незаконных средств через THORSwap.
Российский след
Личность хакера до сих пор остается неизвестной. Одна из версий — за ним стояли сотрудники FTX, также подозреваемым является экс-глава FTX Сэм Бенкман-Фрид.
Кроме того, аналитики предположили, что к этому может быть причастна киберпреступная группа Lazarus Group, которая совершила ряд краж криптовалют. Однако некоторые методы отличаются от тех, которые обычно применяет Lazarus, указали эксперты.
Согласно анализу специалистов из Elliptic, более вероятной считается версия, связанная со злоумышленниками из РФ. Крупные суммы похищенных активов, которые могут быть отслежены через ChipMixer, перед их отправкой на биржу объединяются со средствами, полученными от преступных группировок, связанных с Россией.
«Это указывает на причастность брокера или другого посредника, связанного с Россией», — говорится в заявлении.
Напомним, 3 октября начался судебный процесс над экс-главой FTX Сэмом Бенкманом-Фридом. Команда Incrypted следит за этим и собирает всю актуальную информацию в материале:
