В феврале 2025 года мир узнал о крупнейшем в истории криптовалютном ограблении, в ходе которого хакерская группа, связанная с Северной Кореей, похитила на сумму около 1,4 миллиарда долларов эфира с криптобиржи Bybit. Этот инцидент стал не только рекордом по размеру украденных средств, но и открыл новую главу в понимании того, каким образом Северная Корея отмывает деньги с помощью новейших криптотехнологий. В центре внимания исследователей и аналитиков оказался протокол THORChain — сеть, используемая для обмена криптовалютой между блокчейнами, которая стала одним из основных инструментов в хождении украденных активов. THORChain представляет собой блокчейн, разработанный для предоставления возможности обмена токенов разных сетей напрямую, без посредников и традиционных централизованных бирж. Это позволяет пользователям осуществлять свапы криптовалют, обходя необходимость проходить проверки личности и другие процедуры KYC, присущие централизованным платформам.
Эта особенность сделала THORChain идеальной площадкой для перемещения и отмывания краденых средств, поскольку она предоставляет высокую степень анонимности и гибкости. Исследования блокчейн-экспертов показали, что около 85% украденных средств после атаки на Bybit были обработаны через THORChain. Севернокорейская группа Lazarus умело использовала возможности сети для перемещения криптовалют с одного блокчейна на другой — будь то Ethereum, Bitcoin, Tron, Solana и другие. Путем многократных обменов и дробления сумм они пытались усложнить отслеживание средств и вытеснить следы преступления. Несмотря на активное давление со стороны правоохранительных органов, включая ФБР, операторы THORChain не предприняли решительных мер для блокирования транзакций, связаных с взломом.
В отличие от других участников криптоэкосистемы, которые в тот же период заморозили значительные суммы — например, Tether заморозил 9 миллионов долларов, а Mantle — 41 миллион — THORChain продолжал работу в привычном режиме. Одной из причин, по которой THORChain не ограничивает транзакции, является принцип работы сети и сложность идентификации пользователей. В отличие от централизованных платформ, где учетные записи и транзакции подлежат мониторингу, THORChain, будучи децентрализованным протоколом, не заставляет пользователей проходить регистрацию или раскрывать личности. Это снижает возможности вмешательства и блокировок, но порождает споры о реальной степени децентрализации платформы. Некоторые эксперты утверждают, что на деле сеть далеко не так децентрализована, как заявляют её создатели и сторонники.
Например, в январе 2025 года одному из разработчиков удалось приостановить работу всей сети во время кризиса ликвидности, что теоретически должно было требовать одобрения большинства валидаторов. Также вокруг присутствия административного ключа, которым обладал основатель THORChain Джон-Пол Торбьорнсен, разгорались жаркие дебаты: этот ключ позволял контролировать сеть и останавливать её работу при необходимости, что ставит под сомнение истинную независимость системы. Джон-Пол Торбьорнсен, несмотря на свою публичную позицию активного адвоката THORChain и приверженца децентрализации, заявляет, что уже не участвует в ежедневном управлении протоколом и что цепочка постепенно достигает уровня зрелой децентрализации. Он сравнивает текущий этап развития сети с первоначальными годами существования Биткоина, когда решения принимались узким кругом разработчиков, и подчеркивает, что совершенствование децентрализации — это постепенный процесс. Однако критики указывают на то, что в ситуации с хищением и отмыванием средств со стороны Северной Кореи, продолжающаяся возможность заработка на комиссии от транзакций, связанных с криминальной деятельностью, ставит под угрозу репутацию и законность работы THORChain и её вспомогательных сервисов, таких как кошельки Asgardex и Vultisig.
Эти фронтенд-кошельки позволяют пользователям легко взаимодействовать с протоколом и при этом часто берут фиксированный процент с транзакций. По оценкам, операторы получают миллионы долларов в виде комиссий с операций с украденными средствами. Особое внимание вызывает новый кошелек Vultisig, который разработал сам Торбьорнсен. Он позиционирует его как более защищенное и сложное в плане взлома приложение, что должно повысить безопасность пользователей. Однако рост популярности Vultisig совпал с увеличением активности Северокорейской группы Lazarus, что поставило под сомнение независимость и этичность продвижения этого продукта.
В то же время правовые эксперты предупреждают, что для лиц и компаний, которые тем или иным образом получают прибыль от операций с краденными средствами, существует серьезная угроза санкций и юридических последствий, особенно в юрисдикциях, обладающих строгим контролем за противодействием отмыванию денег, таких как США. Эти вопросы особенно актуальны в свете санкций, ранее наложенных на другие криптоинструменты, связанные с отмыванием, такие как миксер Tornado Cash, который был заблокирован после судебных разбирательств. В целом история с THORChain и Северной Кореей выводит на передний план острый вопрос о том, как оценивать уровень децентрализации и ответственность различных участников криптоэкосистемы. С одной стороны, децентрализованные протоколы призваны работать без посредников и ограничений, что обеспечивает свободу транзакций и приватность. С другой — на практике эти же особенности создают возможности для использования в преступных целях, вызывая необходимость введения стандартов, норм и механизмов контроля.
Неспособность THORChain эффективно противодействовать отмыванию криптовалюты, а также коммерческий интерес отдельных операторов, вынуждают сообщество и регуляторов задуматься о компромиссах между децентрализацией и обеспечением безопасности. Этот случай демонстрирует, что экосистема криптовалют все еще проходит через сложный этап формирования правил и механизмов взаимодействия с государственными органами и институтами правопорядка. История с THORChain также поднимает вопрос о прозрачности и условиях работы децентрализованных протоколов. Когда управленческий контроль фактически сосредоточен в руках небольшого числа участников, появляется риск злоупотреблений и недостатка ответственности. Именно такие пробелы в конструкции системы и делают ее привлекательной для злоумышленников вроде Lazarus.
Для дальнейшего развития и интеграции с мировыми финансовыми системами будет необходимо искать баланс, обеспечивающий эффективность и безопасность операций без потери базовых принципов блокчейн-технологий — децентрализации, прозрачности и неизменности. Лишь в таком случае криптовалюты смогут выйти из категории риска и стать полноценным элементом глобальной экономики. История с отмыванием в THORChain наглядно иллюстрирует, что даже самые передовые технологии нуждаются в продуманной правовой базе и ответственных пользователях. Пока что же, как показывает опыт Северной Кореи, пострадавшие стороны, включая биржи и правоохранительные органы, вынуждены бороться с новыми формами киберпреступности в цифровом пространстве, где границы и правила все еще только формируются.
