Elliptic: Хакеры Lazarus вернулись к использованию Tornado Cash после блокировки микшера Sinbad
Взломщики начали перемещать в Tornado средства от взлома криптобиржи HTX
Аналитики Elliptic зафиксировали движение средств, связанных со взломом биржи HTX и ее кроссчейн-протокола HECO. В результате атаки, которую эксперты приписывают северокорейской группировке Lazarus, платформы в ноябре 2023 года потеряли 100 млн долларов. Украденные средства оставались неподвижны в течение долгого времени, но 13 марта они начали перемещаться в криптомикшер Tornado Cash, включенный Минфином США в санкционный список еще в августе 2022 года.
Следуя распространенным схемам отмывания криптовалют, сразу после взлома хакеры обменяли украденные токены на монеты ETH с использованием децентрализованных бирж (DEX), но затем приостановили дальнейшие переводы.
Затем 13 и 14 марта Lazarus отправила в Tornado Cash свыше 12 млн долларов в рамках более чем 40 транзакций. Сервис был запрещен властями США за содействие в отмывании 455 млн долларов, украденных Lazarus. В ответ группировка прекратила использовать Tornado Cash, и перешла к использованию другого криптомикшера под названием Sinbad.
Затем в ноябре 2023 года Минфин США запретил и Sinbad, также за связь с хакерами из КНДР, что исключило возможность его дальнейшего использования группировкой Lazarus.
Тем не менее, в Elliptic отмечают, что Tornado Cash продолжает работать, несмотря на санкции. Сервис использует смарт-контракты на децентрализованных блокчейнах, поэтому его нельзя захватить и отключить таким же образом, как централизованные микшеры, такие как Sinbad.
«Теперь Lazarus Group, похоже, вернулась к использованию Tornado Cash как способа масштабного отмывания средств и сокрытия следов своих транзакций», — заключили в компании.
