В мире криптовалют прозрачность и безопасность всегда находятся под пристальным вниманием, однако хакеры продолжают искать новые методы для отмывания украденных цифровых активов. Одной из эффективных и сложных техник, применяемых злоумышленниками, является метод под названием 'peel chain' (цепочка с снятием шкурки). Эта инновационная схема позволяет постепенно перемещать крупные суммы криптовалюты, разбивая их на множество мелких транзакций, что значительно усложняет процессы отслеживания и выявления незаконных операций. Недавно известная компания SlowMist, специализирующаяся на анализе инцидентов в области кибербезопасности в криптоиндустрии, подробно разъяснила, как именно работает данный метод. В своем отчете, посвященном преступлению, произошедшему с биржей Bitfinex в 2016 году, SlowMist представила подробный разбор применения peel chain для отмывания украденных 119775 биткоинов, которые на момент хакерской атаки оценивались примерно в 60 миллионов долларов, но на сегодняшний день стоимость этих активов превышает 4,5 миллиарда.
Метод 'peel chain' основывается на последовательных переводах криптовалюты с одного адреса на два новых. Одним из этих адресов переводится основная сумма, а с другого небольшая — «снятая шкурка». Этот процесс повторяется множество раз, создавая сложную цепочку транзакций, каждая из которых кажется незначительной и, как правило, не вызывает подозрений у систем мониторинга бирж и органов контроля. Благодаря этому трюку, крупные объемы украденных средств «режутся» на крошечные порции и распределяются по разным кошелькам, что значительно затрудняет пути иследования происхождения этих средств. Атака на Bitfinex предоставила уникальные данные для анализа.
Похищенные средства были распределены по 2072 адресам, что замедлило момент их использования. Фактически, значительная часть этих биткоинов оставалась без движения до начала 2017 года. Затем активность усилилась, и с помощью технологии peel chain преступники медленно выводили средства, продолжая усложнять пути следователей. SlowMist использовала собственную систему антиотмывания MistTrack, чтобы проследить и визуализировать движение каждой порции средств. В качестве отправной точки был взят конкретный адрес 19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM, на который первоначально поступило почти 30 биткоинов.
Из этого кошелька средства проходили через несколько промежуточных адресов до того, как начался сам процесс «снятия шкурки» в третьем кошельке (3CA...AcW), где сумма транзакций была постепенно разбита на небольшие части, отправленные на различные адреса. Каждый адрес впоследствии разделял средства на два новых адреса и повторял процесс, что создавало сложную и ветвистую структуру, в которой небольшие части биткоинов двигались по цепочке, постепенно «очищаясь».
Такие действия весьма похожи на создание «дерева» транзакций, где каждый «узел» продолжал разделять поступающие на него суммы, маскируя реальный источник и конечного получателя средств. Большинство мелких веток в конце концов приводили к холодным кошелькам, а также к специализированным сервисам, например, Wasabi Wallet — известному биткоин-кошельку с фокусом на приватность — и Hydra Market, крупной площадке на российском даркнете. Это говорит о преднамеренном использовании хакерами ресурсов, обеспечивающих дополнительный уровень анонимности и защиты от технических средств мониторинга. Помимо этого, SlowMist проанализировала более крупные переводы, в том числе с адреса 1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE, куда было зачислено свыше 271 биткоина, украденных в битфинексовском инциденте. Там повторялся тот же паттерн: каждый кошелек делился на два дополнительных, с одновременным «пилением» небольшой суммы.
Сотни операций и переходов — все это составляло сложнейшую паутину, в которой были задействованы сотни адресов. Данная техника обеспечивала безостановочный и плавный вывод средств с минимальными рисками для преступников. Главные характеристики метода peel chain включают начальное накопление украденных криптовалют на одном адресе, многоуровневое разделение на два кошелька с неравными суммами и использование конечных адресов, привязанных к холодным кошелькам, обменникам, приватным сервисам и легальным или темным площадкам. Злоумышленники предпочитают этот способ из-за его сложности и того, что разделение суммы на маленькие транзакции, умышленно распределяемые на различные адреса и сервисы, редко вызывает подозрение на биржах или среди автоматических систем контроля. Компьютеризация и автоматизация процесса делают peel chain особенно эффективным.
Зачастую хакеры применяют специально разработанные скрипты и программные инструменты, часто подгоняемые под конкретные блокчейны, что внедряет дополнительный уровень неопределенности в цели отслеживания. SlowMist в ответ на такие вызовы разработала собственный программный инструмент MistTrack. Этот сервис призван помочь регуляторам, криптобиржам и сообществу отслеживать, анализировать и выявлять подозрительные операции в реальном времени, используя обширную базу данных, в которой насчитывается более 100 000 адресов, связанных с мошенническими схемами и незаконными активностями. В итоге, изучение peel chain дает ценный урок безопасности и подчеркивает необходимость внедрения многоуровневых систем мониторинга и улучшения регуляторных подходов. Методы, подобные peel chain, демонстрируют, как злоумышленники адаптируются к существующим ограничениям и продолжают совершенствовать свои способы конвертации украденного имущества.
