Как отмыть крипту на $1,5 млрд за 5 простых шагов. Кейс Lazarus Group

Это исследование публикуется исключительно в ознакомительных целях и не преследует цели популяризировать отмывание средств, полученных незаконным путем.

Февраль 2025 года стал кульминационным месяцем для киберпреступников. Хакерской группировке Lazarus Group, которую связывают с Северной Кореей, удалось похитить самую большую сумму в истории - почти $1,5 млрд. Злоумышленники получили доступ к одному из кошельков криптобиржи Bybit.

Bybit не при чем

Взлом криптобиржи Bybit произошел не по вине ее разработчиков. За более чем две недели до взлома хакеры провели атаку на кошелек с мультиподписью Safe Wallet, который до недавних пор считался самым надежным и безопасным. Поэтому Bybit использовали его для хранения криптовалюты. 2 февраля злоумышленники с помощью уязвимости нулевого дня в macOS получили доступ к рабочему ноутбуку одного из разработчиков Safe Wallet. В течение следующих нескольких недель хакеры последовательно обошли все уровни защиты Safe Wallet, а затем интегрировали в кошелек вредоносный Javascript-код.

Хронология взлома Bybit.

Источник Mandiant

21 февраля сотрудники Bybit как обычно производили внутренние переводы средств с холодных хранилищ, которые отключены от сети, на горячие кошельки. Один из таких переводов был совершен с использованием вредоносного кода на стороне Safe Wallet.

Дочерняя компания Google - Mandiant, проводившая расследование по проникновению хакеров в инфраструктуру Safe Wallet, отметила виртуозность Lazarus Group, которые не только провели масштабную атаку, но и смогли тщательно замести следы. До сих пор остаются неизвестными некоторые технические детали проникновения, поскольку после взлома хакерам удалось стереть вредоносный код и следы своего присутствия.

Перемещение похищенной криптовалюты на кошельки Lazarus Group.

Источник TRM Labs

Аудит похищенных средств

Получив доступ к кошельку, хакеры завладели следующими активами:

• 401 347 Ethereum (ETH)
• 90 376 Lido Staked Ether (stETH)
• 15 000 cmETH
• 8000 mETH

Стоимость всех похищенных активов на момент взлома составила $1,46 млрд

После вывода активов с холодного кошелька Bybit хакеры поменяли производные ETH-активы (stETH, cmETH и mETH) на нативные монеты блокчейна Ethereum. Для этого использовались DEX-площадки, такие как Uniswap и Curve.

Как Lazarus Group за 10 дней отмыли $1,5 млрд

Шаг №1. Дробление активов и кошельков

Более 475 000 ETH, которые изначально хранились на одном адресе, в течение суток после взлома начали перемещаться на новые кошельки. На первом этапе злоумышленниками была создана сеть из 48 адресов (по 10 тыс. ETH на каждый адрес).

Шаг №2. Использование кросс-чейн протоколов

После первичного дробления хакеры использовали кросс-чейн протоколы для обмена ETH на BTC. На этом этапе злоумышленники создали еще одну сеть, которая насчитывала почти 7 тыс. BTC-адресов. Таким образом хакеры существенно затруднили процесс отслеживания перемещения средств и их блокировки. Наибольший объем средств (около 361 000 ETH) был пропущен через протокол THORChain, часть монет прошла через Chainflip.

Шаг №3. Использование миксеров и бирж без KYC

После вторичного дробления похищенные средства направили в децентрализованные протоколы микширования (Wasabi и CryptoMixer) и биржи, которые позволяют совершать анонимные транзакции. Часть активов была перемещена на биржу eXch. На своем сайте биржа eXch открыто сообщает о том, что не отслеживает никакие метаданные своих пользователей и предупреждает о вероятности последующей блокировки средств из-за высоких AML-рисков. На этом этапе сеть адресов, связанных со взломом Bybit, увеличилась еще в несколько раз, что существенно затруднило отслеживание цепи перемещения средств даже профессиональным аналитическим компаниям и исследователям.

Раздел FAQ биржи eXch

Источник: exch.cx

Шаг №4. Платформы мемкоинов

Популярная платформа для создания мемкоинов на блокчейне Solana - Pump.fun стала одним из инструментов для отмывания средств, похищенных у Bybit. Злоумышленники создавали на площадке мемкоины и использовали похищенные средства для создания пулов ликвидности. Одним из таких “грязных” токенов стал QinShihuang. На этом шаге удалось отмыть более $26 млн. Затем разработчики Pump.fun начали блокировать токены, связанные с отмыванием средств.

Шаг №5. Одноранговые (P2P) биржи

Незначительное количество активов было отмыто через внебиржевые и P2P-инструменты. Для этого использовались китайские и российские обменники, где криптовалюта менялась на фиатные средства.

Как Garantex отмывает миллионы для Lazarus Group, обходя санкции — полное расследование

Как биржа отмывает криптоактивы, почему ее заблокировал Tether и как избежать блокировки средств — разбираем в деталях

Читать дальше

Почему такие операции сложно отследить

Несмотря на масштаб атаки и значительный ущерб, оперативно отследить и заблокировать удалось только $42,8 млн (менее 3% от общей стоимости украденных активов). Правоохранительные органы и аналитические службы столкнулись с беспрецедентной сложностью в борьбе с отмыванием похищенных средств. Хакеры не только использовали масштабные сетевые перемещения, создавая тысячи новых цепочек транзакций, а и научились прерывать такие цепочки благодаря децентрализованным технологиям и кросс-чейн мостам.

Злоумышленники научились использовать кросс-чейн технологии в собственных интересах. Суть кросс-чейн перемещений состоит в том, что в действительности активы не покидают свои блокчейны. Если нужно перевести актив из блокчейна A в блокчейн B, то первичный актив блокируется в блокчейне A и на его основе создается актив в блокчейне B. Таким образом разрывается прямая цепочка перемещения средств.

Чтобы отслеживать подобные связи с разорванными цепочками транзакций используются сложные системы анализа на основе больших данных. Единственный способ идентифицировать кросс-чейн транзакцию и связать активы - сопоставить метаданные (время транзакций, сумму и др.). Чтобы создать большое количество ложных данных и запутать блокчейн-исследователей злоумышленники используют дробление и микширование, проводя активы через тысячи, а иногда и десятки тысяч разных адресов.