Ончейн-детектив розкриває таємницю: як TRM Labs відстежує викрадені 35 мільйонів доларів LastPass до російської чорної мережі

Детальний звіт, нещодавно опублікований блокчейн-аналітикою компанії TRM Labs, проливає світло на наслідки масштабного витоку даних LastPass, відомого менеджера паролів, у 2022 році. У звіті йдеться, що понад $35 мільйонів криптовалюти було викрадено у зв’язку з витоком, а кошти надійшли безпосередньо російській кіберзлочинній групі, яка співпрацює. Тривожно, що хоча хакери використовували передові інструменти конфіденційності та сервіси змішування, такі як Wasabi Wallet, щоб приховати свої сліди, аналітики TRM Labs успішно відновили процес змішування фондів, виявивши його унікальні поведінкові характеристики в блокчейні, і відстежили їхні кошти, які зрештою потрапляли на місцеві російські торгові платформи, зокрема Cryptex, який перебуває під санкціями США. Ця справа є не лише успішним он-чейн-розслідуванням, а й виявляє критичну роль географічної інфраструктури шифрування у глобальному ланцюгу відмивання грошей у сфері кіберзлочинності.

Багаторічна цифрова активна «хронічна втрата крові»

Історія починається з витоку даних LastPass, який шокував світ у 2022 році. Тоді менеджер паролів із мільйонами користувачів визнав, що був скомпрометований, але ризики тоді були далеко не завершені. Згідно з нещодавнім звітом TRM Labs, зловмисники продовжували використовувати викрадені облікові дані для систематично спорожнення активів користувачів, що зберігаються в пов’язаних криптовалютних гаманцях, протягом наступних кількох років. Цей потік крадіжок, а не одноразова масштабна передача, робить її менш помітною на ранніх етапах і не привертає широкої уваги, доки сукупні втрати не досягнуть десятків мільйонів доларів.

Ці вкрадені кошти не стоять на місці. Відстеження TRM Labs показує, що хакери демонструють високий рівень професіоналізму та організованості. Замість того, щоб просто переказувати викрадений Ethereum чи інші токени безпосередньо на біржу за готівку, вони виконують складний процес відмивання. По-перше, вони конвертують різні активи, не пов’язані з Bitcoin, у біткоїн через миттєві обмінні сервіси. Цей крок полягає не лише у стандартизації активу, а й на подальшому використанні специфічних інструментів конфіденційності, пов’язаних із Bitcoin. Після цього кошти надсилаються у мікшер, такий як Wasabi Wallet, або через протокол CoinJoe. Основний принцип цих сервісів полягає у змішуванні та розподілі великої кількості коштів користувачів, щоб повністю розірвати зв’язок між вхідними та вихідними адресами, досягаючи таким чином невидимість джерела коштів.

Однак цей, здавалося б, ідеальний злочин був викритий на тлі технології аналізу блокчейну. Дослідники з TRM Labs виявили, що, незважаючи на використання інструментів конфіденційності, група залишає послідовний сліди на ланцюгу у своїй діяльності. Цей підпис — це не проста асоціація адреси, а низка повторюваних, впізнаваних поведінкових моделей, як-от унікальна хода чи почерк людини у цифровому світі, що робить його ідентифікованим складними алгоритмами, навіть якщо вони приховані серед людей.

Ключові моменти відстеження, шлях відмивання грошей хакерами та відстеження на блокчейні

• Джерело атаки: Вкрадено облікові дані через вразливість LastPass 2022 року.
• Масштаб крадіжок: понад $35 мільйонів у різних криптовалютах.
• Перший крок відмивання (конвертації): Через сервіс миттєвого обміну викрадені активи конвертуються у біткоїни.
• Wash Step 2 (Обфускація): Ввести Bitcoin у Wasabi Wallet, CoinJoin та інші сервіси змішування, щоб спробувати перекрити потік коштів.
• Відстеження проривів: TRM Labs визначає унікальні поведінкові характеристики організації або цифрові сліди, такі як конкретне програмне забезпечення гаманця імпортує приватні ключі, патерни часу транзакцій тощо.
• Остаточний експорт: Після успішного деміксу кошти були відстежені до фінального припливу коштів на російську місцеву торгову платформу Cryptex і Audi6, з яких близько 7 мільйонів доларів надійшли лише Audi6.
• Географічна асоціація: Гаманці, що взаємодіяли з міксером, показували операційні зв’язки з Росією до і після очищення, що свідчить про те, що хакери, ймовірно, знаходилися безпосередньо в регіоні.

Мистецтво «розмікування»: як поведінковий аналіз проникає крізь туман інструментів приватності

Традиційні методи відстеження часто виявляються безпорадними при потоці коштів, оброблених монетними мікшерами. Однак технологія аналізу безперервності поведінки, продемонстрована TRM Labs у цьому дослідженні, позначає новий етап у ончейн-розслідуванні. У своїй основі вони відстежують не лише адреси гаманців, а й поведінкові звички операторів, які стоять за цими гаманцями. Ці звички можуть включати конкретні налаштування при використанні спеціального програмного забезпечення гаманця, часові налаштування для виконання транзакцій (пов’язані з певними часовими поясами), унікальні моделі взаємодії зі смарт-контрактами та навіть тонкі програмні відбитки, що залишаються при імпорті приватних ключів або побудові транзакцій.

Наприклад, хоча Wasabi Wallet розроблений для надання надійних гарантій конфіденційності кожної транзакції, користувачі можуть ненавмисно залишати асоціативні метадані або поведінкові моделі під час роботи з самим програмним забезпеченням гаманця. Саме завдяки інтеграції та аналізу цих, здавалося б, не пов’язаних між собою даних на ланцюгу та поза ланцюгом, аналітики TRM Labs успішно розібрали процес змішування та реорганізували заплутані транзакції. Цей процес схожий на повністю зіпсований клубок пряжі, який визначає унікальну текстуру і колір кожного волокна, і нарешті відновлює її початковий шлях з’єднання. Цей звіт переконливо доводить, що анонімність, яку забезпечують багато інструментів конфіденційності, не є абсолютною на тлі передового аналізу блокчейн-інтелекту, особливо коли оператори виявляють свої характеристики через поведінкові звички.

Цей прорив є значним. Вона не лише забезпечує реальний технічний шлях для правоохоронних органів для виявлення таких злочинів, а й слугує сигналом тривоги для злочинців, які намагаються використати подібні способи відмивання грошей. Ще важливіше, це створює новий виклик для сфери технологій конфіденційності криптовалют: справжній захист приватності, ймовірно, потребує виходу за межі транзакційного приховування до більш комплексного захисту від усіх можливих поведінкових відбитків користувачів. Це також відгукнулося у сфері традиційної фінансової (TradFi) відповідності, де моніторинг поведінкових моделей і оцінка ризиків залишаються в центрі зусиль протидії відмиванню грошей, незалежно від розвитку технологій.

Російські торгові платформи: «Хаб» і «термінал» фондів кіберзлочинності

Оскільки шлях фондів уточнюється, кінець ланцюга чітко вказує на криптовалютну торгову платформу в Росії. У звіті згадуються дві назви: Cryptex і Audi6. Серед них Cryptex особливо примітний тим, що його внесли до санкційного списку Офіс контролю іноземних активів Міністерства фінансів США. Оцінюється, що близько $7 мільйонів вкрадених коштів потрапило до Audi6, а більшість решти потрапила на платформи на кшталт Cryptex.

Ці платформи відіграли ключову роль у каналі виведення коштів у цьому інциденті. Чисті біткоїни після складного очищення хакерами обмінюються на фіатну валюту або передаються на наступному етапі, таким чином остаточно реалізуючи цифрові активи на розпорядне багатство. TRM Labs зазначили, що ці платформи мають давні та глибокі зв’язки з російським кіберзлочинним підпіллям, забезпечуючи їм незамінну ліквідність і фінансову інфраструктуру. Ключовим висновком у звіті є те, що гаманець-адреси, які взаємодіють із сервісом змішування, свідчили про операційні зв’язки з Росією як до, так і після відмивання коштів. Це сильно свідчить про те, що хакерська група, яка здійснила атаку, не просто орендувала інфраструктуру в Росії, а й, ймовірно, знаходилася безпосередньо в Росії або контролювалася російськомовними особами.

Ця ситуація підкреслює давню регуляторну дилему: криптовалютні торгові платформи в деяких юрисдикціях фактично стали транзитними пунктами та притулками для глобальних фондів кіберзлочинності через слабкі місцеві регуляції або труднощі у співпраці з правоохоронними органами. Їхнє існування значно знижує економічний та технічний поріг кіберзлочинності, дозволяючи хакерським командам відносно безпечно легалізувати свої незаконні здобутки. Це не лише шкодить загальній репутації криптовалютної індустрії, а й становить постійну загрозу глобальній фінансовій безпеці. Це також свідчить про нагальність створення глобально скоординованої регуляторної системи криптоактивів, яка відповідала б традиційним стандартам фінансового (TradFi) для ізоляції потоку незаконних коштів.

Апокаліпсис індустрії: Потрійна гра безпеки, приватності та регулювання

Інцидент з LastPass та подальше відстеження відмивання грошей принесли глибоке розуміння всій екосистемі криптовалют, що виходить далеко за межі простого встановлення міцніших паролів.

По-перше, це суворе нагадування як для окремих користувачів, так і для інституційних опікунів. Використання єдиного централізованого менеджера паролів для збереження всіх ключових ключів фактично створює єдину точку відмови. Якщо сервіс буде порушено, це може спричинити катастрофічну ланцюгову реакцію. Ця справа спонукала індустрію переглянути необхідність більш безпечних варіантів зберігання активів, таких як децентралізовані ідентифікатори та гаманці з багатопідписами. Користувачам потрібно створити багаторівневу систему безпеки і не зберігати всі ключі цифрових активів в одному місці.

По-друге, для розробників технологій конфіденційності успішне об’єднання TRM Labs — це приклад, який варто вивчити. Це свідчить, що просте обфускування графів транзакцій може більше не бути достатнім для топової аналітики в блокчейні. Майбутні протоколи конфіденційності, можливо, доведеться змінити акцент з анонімності транзакцій на забезпечення неактуальності поведінки, розглядаючи можливість більш ґрунтовного усунення будь-яких слідів поведінкових моделей, які користувачі можуть залишати в ланцюжку. Це буде тривала технічна наступальна та оборонна боротьба.

Нарешті, для регуляторів і законодавців цей інцидент підкреслює нагальність посилення міжнародної координації, особливо щодо постачальників криптовалютних послуг, які сприяють незаконній діяльності. Санкції OFAC США проти Cryptex — це один напрямок, але корінними причинами є ширша міжнародна співпраця, обмін розвідданими та спільний тиск на торгові платформи поза законом. Водночас регулювання також має знайти більш точний баланс між боротьбою зі злочинністю та захистом фінансової приватності легітимних користувачів. Ця справа також демонструє критичну роль блокчейн-аналітиків як приватного сектору, а розвідка, яку вони надають, стає важливим мостом між криптосвітом і традиційною фінансовою (TradFi) правоохоронною системою.

Ця багаторічна справа, що стосується десятків мільйонів доларів, слугує дзеркалом складних викликів безпеки, приватності та регуляторної відповідності у світі криптовалют. Це доводить, що на блокчейні сліди можуть ретельно маскуватися, але дії неминуче залишають відстежуваний цифровий слід. Для всієї індустрії створення екосистеми, яка не лише захищатиме активи користувачів і приватність, а й ефективно протистоятиме та відстежує злочинну діяльність, буде ключовим завданням на довгий час. У цьому процесі зрілі концепції контролю ризиків із традиційних фінансів (TradFi), регтеху та моделей співпраці з правоохоронними органами надають незамінні довідки та інструменти.