От кражи до повторного выхода на рынок: как 292 миллиона долларов «отмыли»?

откуда пошел $292m кальп? анатомия $292m отмывки.
автор оригинала: @the_smart_ape
перевод: Пегги, BlockBeats

автор оригинала: BlockBeats
источник оригинала:
перепечатка: Mars Finance

редакторский комментарий: 18 апреля Kelp DAO подвергся атаке, украдено около 292 миллионов долларов.
Итак, как в полностью открытой цепочной системе эти деньги шаг за шагом «очищаются», превращаясь в оборотные активы?

Эта статья использует этот инцидент как точку отсчета, разбирая высокотехнологичный путь криптоотмывки:
от подготовки анонимной инфраструктуры до атаки, до использования Tornado Cash для разрыва связей в цепочке;
от залога токсичных активов через Aave и Compound для получения чистой ликвидности;
до экспоненциального усложнения отслеживания с помощью THORChain, межцепочных мостов и структуры UTXO;
и, наконец, — перевод в USDT на Tron, обмен внебиржевыми сетями на реальные деньги.

В этом процессе нет сложных черных ящиков, почти каждый шаг — «по правилам».
Именно поэтому раскрытая структура этого пути показывает не уязвимость в одной точке, а системное напряжение в DeFi — при условии, что протоколы изначально допускают такие операции, «возврат средств» перестает быть технической задачей и становится вопросом границ системы.

Инцидент с Kelp DAO — это не просто авария безопасности, а своего рода стресс-тест принципов работы криптомира:
он показывает, как хакеры превращают ваши деньги в свои, и почему в принципе трудно остановить этот процесс.

Как вам известно, 18 апреля один северокорейский хакер украл у Kelp DAO 292 миллиона долларов.
Через пять дней более половины уже исчезло, разбросано по тысячам кошельков, обмен завершен через незамедлительные протоколы, и деньги направлены на очень конкретное место.

Интересно то, как украденные активы на сумму 2,92 миллиарда долларов, подтвержденные документально, без возможности помешать, превращаются в наличные деньги в кармане Пхеньяна.

Цель этой статьи — раскрыть, как работает современный полный цикл криптоотмывки, почему он структурно не может быть остановлен, и что покупаешь за каждую отмычную доллар.

Первый этап: подготовка (за несколько часов до атаки)

Атакующие не начинали с прямого кражи.
Тактика Lazarus всегда начинается с подготовки инфраструктуры.

За примерно 10 часов до атаки восемь новых кошельков предварительно пополнились через Tornado Cash — миксер, который разрывает связь между источником и назначением средств.

Каждый кошелек получил по 0,1 ETH для оплаты Gas за последующие операции.
Поскольку эти средства поступили из миксера, у них нет KYC-истории на биржах, нет истории транзакций, и их нельзя связать с известными субъектами.
Чистая доска.

Перед самой атакой злоумышленник отправил три межцепочных перевода с Ethereum на Avalanche и Arbitrum — очевидная цель — заранее залить Gas на этих Layer 2 и протестировать работу мостов, чтобы убедиться, что крупные переводы пройдут без сбоев.

Второй этап: кража

Отдельный кошелек-инициатор атаки (0x4966…575e) вызвал функцию lzReceive в контракте LayerZero EndpointV2.
Поскольку валидаторы были успешно обмануты, вызов был признан легитимным межцепочным сообщением.
Мостовой контракт Kelp DAO: RSETH_OFTAdapter (Etherscan: 0x85d…) сразу же отправил 116 500 rsETH на 0x8B1.

Все 18% циркулирующего rsETH исчезли за один вызов.

Через 46 минут, в 18:21 по UTC, экстренный мультиподписанный механизм Kelp остановил протокол.
В 18:26 и 18:28 по UTC злоумышленник попытался повторить операцию дважды, каждый раз пытаясь украсть около 40 000 rsETH (примерно 100 миллионов долларов).
Обе попытки были отменены благодаря своевременной остановке Kelp.
Если бы не это, сумма кражи могла бы достигнуть почти 500 миллионов долларов.

Третий этап: Aave + Compound

rsETH — это токен-заместитель, и если Kelp остановит мост или внесет украденные токены в черный список, его стоимость мгновенно упадет до нуля.
Злоумышленник имел всего несколько минут, чтобы обменять его на активы, которые нельзя заморозить.
Kelp остановили только через 46 минут после кражи — уже слишком поздно.

Продажа украденных non-liquid restaking токенов на открытом рынке за несколько минут снизила цену более чем на 30%.
Поэтому он не стал их продавать, а использовал DeFi-кредитование как инструмент отмывки, быстро выводя деньги.

Кошелек-реципиент 0x8B1 разделил 116 500 украденных rsETH на 7 подкошельков.
Каждый из них затем заложил часть rsETH в Aave и Compound V3, взяв взаймы ETH.

Общий портфель по 7 кошелькам:

· заложено: 89 567 rsETH
· взято взаймы: около 82 650 WETH + 821 wstETH, всего примерно 190 миллионов долларов в чистых, ликвидных ETH

· коэффициент здоровья каждого — 1,01–1,03 — максимум, допускаемый протоколом перед ликвидацией

Злоумышленник обменял эти 2,92 миллиарда долларов в виде маркера rsETH, который был помечен как украденный и практически не ликвиден, на 190 миллионов долларов ETH.
Когда эти rsETH были окончательно помечены как почти нулевые (из-за недостатка мостовых средств и невозможности выкупа), потери понесли вкладчики кредитных протоколов.

Рынок, заметив, что Aave держит более 200 миллионов долларов плохого долга, начал паниковать и выводить средства.
За 48 часов TVL Aave снизился на 80 миллиардов долларов.
Это был первый настоящий банковский кризис в DeFi — и его причиной стал именно злоумышленник, использовавший протокол по его же правилам.

Четвертый этап: консолидация и разделение средств

После получения кредита в Aave и Compound, 7 подкошельков перевели взятые ETH на третий уровень — в кошелек 0x5d3.

Теперь структура операции выглядит так:

1. Получение: 0x8B1 (также пополнен через Tornado Cash) — 116 500 rsETH
2. Операции: 7 кошельков, пополненных через Tornado Cash, — выполнение операций Aave/Compound
3. Консолидация: 0x5d3 — собирает около 71 000 ETH, взятых взаймы, и объединяет их для отмывки

Деньги далее распределяются по двум цепочкам:
· 75 700 ETH остаются на Ethereum mainnet
· 30 766 ETH — на Arbitrum (около 71 миллиона долларов)

Комитет Arbitrum проголосовал за заморозку этой части активов и перевод их на управляемый кошелек, который разблокируется только после дальнейшего голосования.

После заморозки злоумышленник быстро перевел оставшиеся ETH на основном цепочке и ускорил процесс отмывки.
Очевидно, он не ожидал такого шага со стороны Arbitrum.

Пятый этап: первая волна отмывки

Через четыре дня после атаки 0x5d3 начал очищать средства.
Arkham за несколько часов обнаружил три отдельные перевода.

Выбор времени — специально: во вторник в европейскую торговую сессию.
Американские следователи еще отдыхают, европейские регуляторы занимаются делами понедельника, а азиатские биржи уже близки к закрытию.

Затем схема переводов начала стремительно расширяться.
Каждый первый этап — повторное распространение:
0x62c7 отправил примерно 60 новых кошельков,
0xD4B8 — еще около 60.
За несколько часов из 10 аккуратных кошельков выросло более 100, все — с одновременными пополнениями, суммы настолько малы, что их трудно обнаружить.

Lazarus использует скрипты HD-кошельков — один мнемоник за несколько секунд позволяет сгенерировать тысячи новых адресов, а с помощью воркеров (Python + web3, ethers.js или собственных инструментов) — параллельно подписывать и транслировать всю цепочку.
Эти скрипты они используют с 2018 года, постоянно совершенствуя.

К концу этого этапа цепочка становится неотследимой:
операции 10 кошельков превращаются в более чем 100 разрозненных, скрытых адресов, и деньги одновременно поступают из десятков независимых источников.

Шестой этап: THORChain — машина побега

Истинный разрыв происходит на THORChain.

THORChain — децентрализованный протокол, поддерживающий межцепочные обмены активов.
Вы отправляете ETH на Ethereum — он вам возвращает BTC в сети Биткоин.

Только 22 апреля объем обменов за сутки достиг 460 миллионов долларов.
Это в 30 раз превышает среднесуточный объем — около 15 миллионов долларов.

За тот же день протокол заработал 494 тысячи долларов, которые разделили узлы-операторы, поставщики ликвидности, фонд разработки, альянс и маркетинговый фонд.

Одновременно деньги движутся по более мелким, но взаимодополняющим каналам приватности:
· Umbra: протокол анонимных адресов на Ethereum. Позволяет отправлять средства на одноразовые адреса, которые могут быть расшифрованы только получателем.
· Chainflip: еще один межцепочный DEX, похожий на THORChain.
· BitTorrent Chain: связанная с Tron низкозатратная, низко регулируемая sidechain.
· Tornado Cash: тот же миксер, что и при первоначальной предоплате Gas.
Фактически, каждый слой увеличивает сложность отслеживания примерно в 10 раз.
После пяти слоев теоретически можно проследить каждую часть, но экономическая стоимость уже превышает возможную сумму возврата.

Седьмой этап: фрагментация UTXO в Bitcoin

Обмен ETH на BTC через THORChain — это превращение денег в пыль.

Ethereum использует учетную модель: баланс — это число, привязанное к адресу.
Bitcoin — UTXO-модель: каждый UTXO — это конкретный кусок монеты с полным историей транзакций.
Каждый раз, когда вы тратите Bitcoin, эти куски разбиваются и собираются заново.

Представьте, что разорвали 100-долларовую купюру на 87 частей, а каждую часть — еще на 87.
И так 7 раз.
Технически, каждый фрагмент можно проследить до исходной купюры.
На практике, ни одна команда экспертов не сможет в реальном времени отслеживать тысячи параллельных цепочек и быстро собрать полную картину.

Итак, THORChain одновременно делает две вещи:
— пересекает любые санкционные границы,
— превращает деньги в неотследимую пыль.

Восьмой этап: цепочка USDT на Tron

После Bitcoin и слоя приватности деньги снова собираются в один пункт — USDT на Tron.

Многие считают, что основная сфера отмывки — BTC, ошибаются.
На самом деле, главная — USDT на Tron.
Данные показывают, что объем незаконных транзакций USDT-Tron ежегодно лидирует среди всех цепочек, превышая сумму по всем другим вместе взятым.

В этом потоке Kelp путь таков:
с跨桥 перевод BTC в Tron, обмен на USDT, затем многократные переводы между адресами Tron.
Каждый переход стоит всего несколько центов, а затем добавляется еще 10 слоев фрагментации.

Девятый этап: вывод — криптовалюта превращается в наличные

Конечная точка каждого взлома — деньги через специально организованную сеть посредников, подтвержденных документально, превращаются в фиат.

Группа OTC-брокеров в Китае и Юго-Восточной Азии принимает депозиты USDT-Tron и расплачивается наличными.
Это — нелицензированные подпольные обменники.
Они собирают деньги от разных клиентов (и легальных, и нелегальных), внутренне балансируют их и через китайскую платежную систему (UnionPay) переводят в фиат.
UnionPay работает вне системы SWIFT и западных санкций.

От этих счетов деньги поступают на банковские счета, контролируемые КНДР, обычно зарегистрированные на офшорных компаниях в Гонконге, Макао или третьих юрисдикциях.
Далее, через неформальные схемы, наличные, фальшивые документы и закупки на фронт-офисах деньги возвращаются в Пхеньян.

Совместный комитет ООН, FBI и Минфин США зафиксировали конечное направление этих средств.
Это финансирование ракетных программ, ядерных разработок и обход санкций — все это поддерживается непрерывным потоком таких средств.

По оценкам ООН 2024 года, около 50% внешней валюты Северной Кореи — это доходы от кибератак, что делает их главным источником финансирования оружейных программ — больше, чем экспорт угля, продажа оружия и трудовая миграция вместе взятые.

[заголовок оригинала]