После взлома платформы Bybit на сумму $1,5 миллиарда две исследовательские организации в области блокчейна — Nansen и Chainalysis — раскрыли методы отмывания денег, используемые группой Lazarus. Их подход включает обмен неликвидных активов на ликвидные, создание запутанных транзакционных цепочек и временное бездействие некоторых кошельков, чтобы снизить внимание к себе.
Основные этапы отмывания средств
- Обмен неликвидных активов на ликвидные
По данным Nansen, группа Lazarus сначала конвертирует неликвидные активы в более ликвидные, которые проще перемещать. Например, после взлома Bybit злоумышленники перевели более $200 миллионов в стейкинговых токенах в Ether (ETH), что упростило дальнейшие операции. - Создание сложной транзакционной цепочки
Для запутывания следов хакеры использовали множество промежуточных кошельков. Chainalysis сообщает, что средства перемещались через децентрализованные биржи, кроссчейн-мосты и сервисы мгновенного обмена, не требующие проверки личности (KYC). - Конвертация в Bitcoin и стейблкоины
Большая часть ETH была позже обменена на Bitcoin (BTC) и стейблкоины, такие как Dai (DAI). В некоторых случаях аналитики блокчейна смогли отследить эти перемещения в реальном времени, что позволило таким платформам, как Chainflip, заблокировать попытки отмывания средств. - Разделение средств на мелкие части
Хакеры дробили украденные средства на меньшие суммы и распределяли их по растущему числу кошельков. Например, на первом этапе средства из одного кошелька были распределены по 42 кошелькам, а на втором — уже по тысячам.
Стратегия временного бездействия
Группа Lazarus также использует тактику ожидания, чтобы избежать повышенного внимания после крупных краж. Некоторые кошельки с украденными средствами (общей суммой около $900 миллионов) остаются неактивными, пока группа ждет, пока интерес к расследованию снизится.
Масштабы атаки
Взлом Bybit на 1,5 миллиарда стал крупнейшей кражей в истории криптовалют. Для сравнения, в 2024 году группа Lazarus провела 47 атак, похитив в общей сложности 1,3 миллиарда. Эта атака объединила криптосообщество в поддержку Bybit и против хакеров.
Несмотря на усиленное внимание к своей деятельности, группа Lazarus продолжает совершенствовать свои методы. Как сообщает Cointelegraph, их стратегии в киберпространстве остаются одними из самых прибыльных и продуманных.
Ключевые этапы отмывания средств
| Этап | Действия |
|---|---|
| Обмен активов | Конвертация неликвидных токенов в ETH |
| Создание цепочки | Использование промежуточных кошельков и децентрализованных сервисов |
| Конвертация | Перевод ETH в BTC и стейблкоины |
| Разделение средств | Распределение средств по тысячам кошельков |
| Ожидание | Бездействие кошельков для снижения внимания |
Этот анализ показывает, насколько сложно отследить и предотвратить действия таких групп, как Lazarus, даже с использованием современных технологий блокчейн-анализа.
