المحقق على السلسلة يكشف النقاب: كيف تتبع TRM Labs مبلغ 35 مليون دولار من أموال LastPass المسروقة إلى شبكة الجريمة الإلكترونية في روسيا

شركة معلومات البلوكشين TRM Labs أصدرت مؤخرًا تقريرًا معمقًا يكشف عن التأثيرات اللاحقة لحدث تسريب البيانات الضخم الذي تعرضت له مديرية كلمات المرور الشهيرة LastPass في عام 2022. وأشار التقرير إلى أن المبالغ المسروقة من العملات المشفرة المرتبطة بهذا الثغرة تجاوزت 3,500万美元، وأن تدفقات الأموال تتجه مباشرة نحو منظمة إجرامية روسية متعاونة. ومن الجدير بالذكر أنه على الرغم من أن القراصنة استخدموا أدوات خصوصية متقدمة مثل Wasabi Wallet وخدمات خلط العملات لمحاولة إخفاء الأدلة، إلا أن محللي TRM Labs تمكنوا من استعادة عملية خلط الأموال بنجاح من خلال التعرف على سمات سلوكها الفريدة على السلسلة، وتتبعوا تدفق الأموال حتى وصلت في النهاية إلى منصات تداول محلية روسية مثل Cryptex وAudi6، بما في ذلك حوالي 700万美元 التي تدفقت فقط إلى Audi6. ويبرز هذا الحدث ليس فقط كنجاح في التحقيقات على السلسلة، بل وكشف عن الدور الحاسم للبنية التحتية المشفرة في بعض المناطق في عمليات غسيل الأموال ضمن شبكات الجريمة الإلكترونية العالمية.

سنوات من “نزيف بطيء” للأصول الرقمية

بدأت القصة في عام 2022 مع حادثة تسريب بيانات LastPass التي هزت العالم. حينها، اعترفت الشركة التي تخدم ملايين المستخدمين بأنها تعرضت للاختراق، لكن الخطر لم ينته عند ذلك الحد. وفقًا لتقرير TRM Labs الأخير، استمر المهاجمون لسنوات بعد ذلك في استغلال بيانات الاعتماد المسروقة بشكل منهجي لمحو أصول المستخدمين المخزنة في محافظ العملات المشفرة المرتبطة. هذا الأسلوب من السرقة المستمرة، وليس النقل الجماعي لمبالغ ضخمة مرة واحدة، جعل الأمر أقل اكتشافًا في البداية، حتى بلغ الخسائر الإجمالية عشرات الملايين من الدولارات، مما أثار اهتمامًا واسعًا.

وتُظهر تتبع TRM Labs أن الأموال المسروقة لم تظل ساكنة. إذ أظهر القراصنة مستوى عاليًا من الاحتراف والتنظيم. فهم لم يكتفوا بنقل إيثريوم أو رموز أخرى مباشرة إلى البورصات لبيعها، بل نفذوا عملية تنظيف معقدة. أولاً، قاموا بتحويل الأصول غير البيتكوين إلى البيتكوين عبر خدمات الصرف الفوري، مما ساعد على توحيد الأصول وتسهيل استخدامها مع أدوات خصوصية البيتكوين لاحقًا. ثم، أُرسلت الأموال إلى خدمات خلط مثل Wasabi Wallet أو عبر بروتوكولات CoinJoin، التي تدمج أموال العديد من المستخدمين بهدف قطع الصلة بين عناوين الإدخال والإخراج على السلسلة، مما يهدف إلى إخفاء مصدر الأموال.

لكن، على الرغم من هذا التمويه، كشفت تقنيات تحليل البلوكشين أن المنظمة تركت توقيعًا فريدًا على العمليات. إذ لم تكن مجرد علاقة عناوين، بل كانت نمط سلوك متكرر يمكن التعرف عليه، يشبه بصمة المشي أو خط اليد الرقمية، مما يسمح للأنظمة الذكية بالتعرف عليهم حتى لو حاولوا التمويه.

مسارات غسيل الأموال على القراصنة والنقاط الرئيسية في تتبع السلسلة

• مصدر الهجوم: بيانات الاعتماد المسروقة من ثغرة LastPass عام 2022.
• حجم السرقة: أكثر من 3,500万美元 من العملات المشفرة.
• الخطوة الأولى في التنظيف (التحويل): عبر خدمات الصرف الفوري، تم توحيد الأصول غير البيتكوين وتحويلها إلى البيتكوين.
• الخطوة الثانية (الخلط): إدخال البيتكوين في خدمات مثل Wasabi Wallet وCoinJoin، لمحاولة قطع تدفقات الأموال.
• نقطة الاختراق في التتبع: تحديد سمات سلوك فريدة أو بصمات رقمية للمنظمة، مثل طريقة استيراد المفاتيح الخاصة في المحافظ، أو أنماط توقيت المعاملات.
• المخرج النهائي: بعد عملية التمويه، تم تتبع الأموال إلى منصات روسية مثل Cryptex وAudi6، حيث بلغت قيمة التدفقات إلى Audi6 حوالي 700万美元.
• الارتباط الجغرافي: تظهر المحافظ التي تتفاعل مع خدمات الخلط قبل وبعد عمليات التنظيف ارتباطًا مباشرًا بروسيا، مما يشير إلى أن القراصنة ربما يكونون موجودين مباشرة في المنطقة.

فن “الخلط”: كيف تتجاوز تحليلات السلوك أدوات الخصوصية

عند مواجهة تدفقات الأموال المعالجة عبر خدمات الخلط، غالبًا ما تكون الطرق التقليدية في التتبع عاجزة. لكن تقنية تحليل استمرارية السلوك التي عرضتها TRM Labs في هذا التحقيق، تمثل مرحلة جديدة في التحقيقات على السلسلة. جوهرها أن تتبعهم لا يركز على عناوين المحافظ فقط، بل على عادات وسلوكيات المشغلين وراءها. قد تشمل هذه العادات: إعدادات محددة عند استخدام برامج المحافظ، تفضيلات توقيت المعاملات (ذات صلة بالمناطق الزمنية)، أنماط تفاعل مع العقود الذكية، وحتى بصمات برمجية دقيقة عند استيراد المفاتيح الخاصة أو بناء المعاملات.

على سبيل المثال، رغم أن Wasabi Wallet مصمم لضمان خصوصية قوية لكل معاملة، إلا أن المستخدمين قد يتركون بيانات وصفية أو أنماط سلوك غير مقصودة أثناء استخدام البرنامج. من خلال دمج وتحليل هذه البيانات، تمكن خبراء TRM Labs من فك رموز عمليات الخلط وإعادة ترتيب المعاملات بشكل واضح. يشبه الأمر فك خيوط من خيطان متشابكة، حيث يتم التعرف على كل خيط من خلال نسيجه ولونه الفريد، ليعاد بناء مسارها الأصلي. وتؤكد هذه الدراسة أن، على الرغم من أدوات الخصوصية المتقدمة، فإنها ليست مطلقة، خاصة عندما يكشف سلوك المستخدم عن سماته الشخصية.

هذه النقلة النوعية مهمة جدًا، فهي لا توفر فقط أدوات للسلطات في تعقب الجرائم، بل وتوجه تحذيرًا للمجرمين الذين يحاولون غسل أموالهم باستخدام أدوات الخصوصية. والأهم، أنها تطرح تحديًا جديدًا على تقنيات الخصوصية في العملات المشفرة، حيث قد يتطلب الأمر تجاوز مجرد إخفاء المعاملات إلى حماية جميع بصمات سلوك المستخدم بشكل شامل. وهذا يثير أيضًا تساؤلات في القطاع المالي التقليدي (TradFi) حول مدى الحاجة إلى أنظمة مراقبة تعتمد على أنماط السلوك، وتقييم المخاطر المستمر، كجزء أساسي من مكافحة غسيل الأموال.

منصات التداول الروسية: “محور” و”وجهة” أموال الجريمة الإلكترونية

مع توضيح مسارات التدفقات، أصبح المخرج النهائي واضحًا، وهو منصات تداول العملات المشفرة الروسية. وأشار التقرير إلى منصتين رئيسيتين: Cryptex وAudi6. ويُعد Cryptex أكثر إثارة للاهتمام، لأنه مدرج على قائمة العقوبات الأمريكية من قبل مكتب مراقبة الأصول الأجنبية (OFAC). وتُقدر أن حوالي 700万美元 من الأموال المسروقة تدفقت إلى Audi6، بينما استقرت بقية الأموال في منصات مثل Cryptex.

تلعب هذه المنصات دورًا حيويًا في عمليات إخراج الأموال بعد عمليات التنظيف المعقدة. إذ يتم تحويل البيتكوين النظيف بعد التنظيف إلى عملات نقدية أو يتم نقلها إلى مراحل لاحقة، مما يتيح تحقيق الأرباح من الأصول الرقمية. وأكدت TRM Labs أن هذه المنصات مرتبطة بشكل وثيق بجهات إجرامية روسية، وتوفر سيولة وبنية تحتية مالية ضرورية. وتُظهر التحليلات أن المحافظ التي تتفاعل مع خدمات الخلط قبل وبعد عمليات التنظيف تظهر ارتباطًا مباشرًا بروسيا، مما يشير إلى أن القراصنة ليسوا مجرد مستأجرين للبنية التحتية الروسية، بل ربما يكونون موجودين داخل روسيا أو يديرونها من هناك.

ويبرز ذلك مشكلة تنظيمية طويلة الأمد، حيث أن بعض منصات التداول في المناطق ذات التنظيم الضعيف أو التعاون القانوني المحدود، أصبحت بمثابة محطات وسيطة وملاجئ لتمويل الجريمة الإلكترونية على مستوى العالم. وجودها يقلل من عوائق التمويل غير المشروع، ويسهل على المهاجمين إضفاء الشرعية على أرباحهم غير المشروعة، مما يضر بسمعة صناعة العملات المشفرة ويهدد الأمن المالي العالمي. ويؤكد ذلك على الحاجة الملحة لبناء إطار تنظيمي عالمي يتماشى مع معايير الرقابة المالية التقليدية، ويعمل على عزل مسارات التدفق غير المشروع.

دروس الصناعة: التوازن بين الأمان، الخصوصية، والتنظيم

حادثة LastPass وتتبعات غسيل الأموال التي تلتها، تقدم دروسًا عميقة لصناعة العملات المشفرة، تتجاوز مجرد تعزيز كلمات المرور.

أولًا، بالنسبة للمستخدمين الأفراد والمنظمات، فهي تذكير صارخ. الاعتماد على مدير كلمات مرور مركزي واحد لحفظ المفاتيح الأساسية يخلق نقطة فشل واحدة. وإذا تم اختراقه، قد تتسبب الكارثة. هذا يدفع الصناعة لإعادة النظر في حلول إدارة الهوية اللامركزية والمحافظ متعددة التوقيع، التي توفر أمانًا أعلى. يجب على المستخدمين بناء أنظمة أمان متعددة الطبقات، وعدم وضع جميع المفاتيح في مكان واحد.

ثانيًا، بالنسبة لمطوري تقنيات الخصوصية، فإن نجاح TRM Labs في فك خلط المعاملات يمثل حالة دراسة مهمة. إذ أن مجرد تشويش مخططات المعاملات لم يعد كافيًا لمواجهة التحليل المتقدم على السلسلة. قد يتطلب الأمر أن تتجه البروتوكولات المستقبلية للخصوصية إلى ضمان عدم ارتباط سلوك المستخدم، مع العمل على تقليل بصماته الرقمية بشكل شامل. ستكون معركة تقنية مستمرة بين من يطورون أدوات الخصوصية ومن يطورون تقنيات التحليل.

وأخيرًا، بالنسبة للسلطات والمنظمين، فإن هذا الحدث يبرز الحاجة لتعزيز التعاون الدولي، خاصة مع الجهات التي تسهل الأنشطة غير القانونية. العقوبات الأمريكية على Cryptex تمثل خطوة، لكن التعاون الدولي، وتبادل المعلومات، والضغط على المنصات غير القانونية، هو الحل الجذري. ويجب أن توازن التنظيمات بين مكافحة الجرائم وحماية حقوق المستخدمين، مع الاستفادة من قدرات التحليل على السلسلة التي تقدمها الشركات الخاصة، والتي أصبحت جسرًا بين عالم التشفير والسلطات التقليدية.

هذه القضية، التي استمرت لسنوات وتورطت فيها مئات الملايين من الدولارات، تعكس التحديات المعقدة التي تواجه صناعة العملات المشفرة في مجالات الأمان، الخصوصية، والامتثال التنظيمي. فهي تثبت أن، على الرغم من أن الأدلة الرقمية قد تُخفي بعناية، إلا أن أي فعل على السلسلة يترك أثرًا يمكن تتبعه. ولصناعة العملات المشفرة، فإن بناء نظام يضمن حماية أصول وخصوصية المستخدمين، وفي الوقت ذاته يتيح تتبع الجرائم، هو التحدي الأهم في المستقبل القريب. وفي هذا المسار، تظل مفاهيم الرقابة المالية التقليدية، والتقنيات التنظيمية، والتعاون مع الجهات القانونية، أدوات لا غنى عنها.