Онлайн-детектив раскрывает тайну: как TRM Labs отслеживают украденные 35 миллионов долларов LastPass до российской черной сети

Криптоаналитическая компания TRM Labs недавно опубликовала углубленный отчет, раскрывающий последствия масштабной утечки данных LastPass 2022 года. В отчете отмечается, что сумма украденных криптовалют, связанных с этим уязвимостью, превысила 35 миллионов долларов, а потоки средств ведут к скоординированной российской киберпреступной организации. Примечательно, что, несмотря на использование хакерами передовых инструментов конфиденциальности, таких как Wasabi Wallet, и сервисов смешивания, аналитики TRM Labs смогли восстановить процесс смешивания средств, выявить их уникальные цепочные признаки и проследить, что финансы в конечном итоге попали на российские внутренние торговые платформы Cryptex и Audi6, включая санкционированную США Cryptex. Этот случай не только стал успешным примером цепочного расследования, но и выявил ключевую роль инфраструктуры криптовалют в определенных регионах в глобальной цепочке отмывания денег.

Многолетняя «хроническая кровопотеря» цифровых активов

История началась с глобального шока — утечки данных LastPass 2022 года. Тогда эта служба управления паролями, насчитывающая миллионы пользователей, призналась в взломе, однако риск не был полностью устранен. Согласно последнему отчету TRM Labs, злоумышленники в последующие годы систематически использовали украденные учетные данные для очистки активов, хранящихся в связанных криптовалютных кошельках. Такой постепенный, «медленный» способ кражи, в отличие от крупномасштабных однократных переводов, изначально был менее заметен, и только после накопления ущерба в десятки миллионов долларов он привлек широкое внимание.

Украденные средства не оставались без дела. Аналитика TRM Labs показывает, что хакеры проявляли высокий уровень профессионализма и организации. Они не просто переводили украденные ETH или другие токены на биржи для продажи, а выполняли сложные схемы очистки. Сначала они через обменные сервисы конвертировали различные активы в биткоин, что было необходимо для стандартизации и последующего использования приватных инструментов. Затем средства отправлялись в такие сервисы, как Wasabi Wallet или через протокол CoinJoin, где происходило их смешивание. Эти сервисы объединяют средства множества пользователей, чтобы разорвать цепочку между входными и выходными адресами, делая источник средств неотследимым.

Однако, несмотря на кажущуюся безупречность преступления, цепочный анализ выявил уязвимости. Исследователи TRM Labs обнаружили, что, несмотря на использование инструментов конфиденциальности, организация оставила на цепочке характерные признаки — так называемый «цепочный отпечаток». Это не просто связь адресов, а повторяющиеся, узнаваемые модели поведения, подобные уникальной походке или почерку в цифровом мире, что позволяет алгоритмам идентифицировать преступников даже в маске.

Ключевые точки цепочного отслеживания и пути отмывания

• Источник атаки: использование учетных данных, украденных в уязвимости LastPass 2022 года.
• Объем кражи: свыше 35 миллионов долларов в криптовалюте.
• Первый этап очистки (конвертация): через обменные сервисы — перевод различных активов в биткоин.
• Второй этап (маскировка): ввод биткоинов в Wasabi Wallet, CoinJoin и другие сервисы смешивания для разрыва связей.
• Ключ к отслеживанию: уникальные цепочные признаки или цифровые следы организации, такие как особенности импорта приватных ключей, закономерности в времени транзакций.
• Итоговая точка выхода: после декомпозиции, средства попадают на российские платформы Cryptex и Audi6, причем только на Audi6 было переведено около 7 миллионов долларов.
• Региональная связь: кошельки, взаимодействующие с сервисами смешивания, показывают признаки связи с Россией как до, так и после очистки, что указывает на возможное нахождение хакеров в этом регионе.

Искусство «деконструкции»: как анализ поведения помогает проникнуть сквозь маски隐私工具

При анализе средств, прошедших через сервисы смешивания, традиционные методы отслеживания часто оказываются бессильными. Однако в этом расследовании TRM Labs продемонстрировали технологию анализа последовательности поведения, которая выводит цепочные расследования на новый уровень. Их суть в том, что они отслеживают не просто адреса, а привычки операторов кошельков. Эти привычки могут включать: особенности настройки программного обеспечения кошелька, предпочтения по времени транзакций (с учетом часовых поясов), уникальные схемы взаимодействия с смарт-контрактами, а также мельчайшие программные отпечатки при импорте приватных ключей или создании транзакций.

Например, несмотря на то, что Wasabi Wallet предназначен для обеспечения высокой приватности, пользователи могут случайно оставить метаданные или модели поведения, связанные с их действиями. Аналитики TRM Labs, объединяя цепочные и внецепочные данные, смогли разобрать процесс смешивания, восстановить последовательность транзакций и выделить исходные связи. Этот процесс похож на восстановление узлов в запутанном клубке нитей, распознавая уникальные текстуры и цвета волокон. Такой подход показывает, что даже при использовании продвинутых инструментов конфиденциальности, при определенных условиях, пользовательские особенности могут раскрыться. Особенно, когда действия становятся привычными и повторяющимися, что оставляет цепочные следы.

Это важное достижение. Оно не только дает правоохранительным органам новые инструменты для преследования преступников, но и ставит под вопрос абсолютную анонимность современных приватных решений. В будущем, чтобы обеспечить действительно высокий уровень приватности, потребуется не только маскировка транзакций, но и защита всех возможных следов поведения пользователя. Это вызывает новые вызовы для разработчиков протоколов конфиденциальности и для регуляторов, ведь баланс между приватностью и контролем — одна из главных задач индустрии.

Российские платформы: «узлы» и «конечные пункты» преступных потоков

После прослеживания путей средств, очевидно, что конечные точки — российские криптовалютные биржи. В отчете выделены две: Cryptex и Audi6. Особенно выделяется Cryptex, которая внесена в санкционный список OFAC. Оценки показывают, что около 7 миллионов долларов украденных средств поступили на Audi6, а остальные — на Cryptex и другие платформы.

Эти платформы сыграли ключевую роль в выводе средств. После сложных схем очистки, чистый биткоин превращается в фиат или переводится дальше, что позволяет преступникам реализовать активы. TRM Labs отмечает, что эти платформы имеют долгую историю связей с российским криминальным сообществом, обеспечивая необходимую ликвидность и инфраструктуру. Анализ показывает, что кошельки, взаимодействующие с сервисами смешивания, демонстрируют связь с Россией как до, так и после очистки, что указывает на возможное нахождение злоумышленников внутри страны или под контролем русскоязычных операторов.

Это подчеркивает проблему недостаточной регуляции: некоторые платформы, из-за слабого законодательства или недостаточной кооперации правоохранительных органов, фактически становятся транзитными узлами и укрытиями для международных преступных групп. Их существование снижает барьеры для преступлений, облегчая легализацию незаконных доходов. Это наносит урон репутации криптоиндустрии и создает угрозу глобальной финансовой безопасности. Важным выводом является необходимость создания глобальной системы регулирования, согласованной с традиционной финансовой сферой, чтобы пресечь пути незаконных переводов. Аналитические компании и правоохранительные органы играют важную роль, предоставляя разведданные, которые помогают связать крипто- и традиционные финансовые системы.

Этот многолетний случай, охватывающий десятки миллионов долларов, — зеркало, отражающее сложности в обеспечении безопасности, приватности и регулирования в криптомире. Он доказывает, что, несмотря на попытки скрыть следы, активные действия оставляют цифровые следы, которые можно проследить. Для индустрии важно построить экосистему, которая одновременно защищает активы и приватность пользователей, и эффективно борется с преступностью. В этом процессе опыт традиционных финансов, технологии регуляции и сотрудничество с правоохранительными органами — незаменимые инструменты и ориентиры.