В мае 2024 года криптовалютная биржа DMM Bitcoin оказалась жертвой масштабного кибератаки, в результате которой было украдено $305 миллионов в биткоинах. Вскоре после инцидента появилось множество данных, раскрывающих методы и схемы злоумышленников по отмыванию украденных средств, среди которых особенно выделяется хакерская группа Lazarus. Эта группа, уже известная своими масштабными операциями в киберпространстве, предположительно стоит за этим взломом и активно переводит миллионы украденных активов через сложные цепочки транзакций. Основные события, связанные с взломом, начались с уязвимости в инфраструктуре DMM Bitcoin, расположенной в Японии. Преступники воспользовались критической ошибкой в системе безопасности и получили доступ к серверам биржи.
Это позволило им вывести огромные суммы биткоинов, что было зафиксировано официально 30 мая 2024 года. Несмотря на попытки биржи быстро отреагировать, ущерб оказался колоссальным. Вскоре после взлома DMM Bitcoin привлекли дополнительные инвестиции в размере $320 миллионов, направленные на компенсацию потерь пользователям и восстановление доверия. Однако истинной головной болью для правоохранительных органов и экспертов по кибербезопасности стали действия преступников по отмыванию украденных криптовалют. Аналитики, включая известного криптособлюдателя ZachXBT, следили за линиями движения украденных биткоинов и обнаружили сложную схему перевода средств через различные криптовалютные платформы и протоколы.
По их данным, более $35 миллионов из украденных активов было переправлено в июле на онлайн-маркетплейс Huione Guarantee, действующий в Камбодже. Huione Guarantee на сегодняшний день является одним из крупнейших игроков в регионе, предлагая услуги обмена и депозита криптовалют. Этот маркетплейс уже связывают с семьей Хун, которая, согласно отчётам блокчейн-аналитиков фирмы Elliptic, контролирует значительную часть экономики Камбоджи. Переход украденных средств через Huione усложняет их отслеживание и затрудняет вмешательство правоохранителей. Данные Elliptic демонстрируют, что Huione Guarantee за время своей деятельности обработал транзакции на сумму свыше 11 миллиардов долларов, большинство из которых связаны с мошенничествами, взломами и различными финансовыми преступлениями.
Таким образом, платформа стала притчей во языцех среди специалистов по борьбе с киберпреступностью и вызывает серьёзные опасения по поводу ее роли в финансовой экосистеме региона. Специалисты считают, что именно Lazarus Group стоит за этим инцидентом. Методы, применяемые для отмывания средств, совпадают с тактиками, которые группа использовала в прошлом. Lazarus известна своим мастерством в создании сложных криптотранзакций и использовании мультисетевых протоколов для маскировки источников и назначения средств. В частности, злоумышленники переводили биткоины через приватные миксеры, затем обменивали их на Ethereum и Avalanche, используя кросс-цепочные ликвидные протоколы, такие как THORChain.
После этого средства конвертировались в стабильные монеты USDT и транслировались на блокчейн Tron, откуда переводились на маркетплейс Huione. Такая многоуровневая схема позволяла значительно снизить риск обнаружения и блокирования транзакций. Однако не все попытки преступников прошли успешно. Так, 12 июля эмитент USDT, компания Tether, заблокировала адрес кошелька Tron с пометкой "TNVaK…s4Ug8". Именно с этого адреса была предпринята попытка перевести $28,2 миллиона на Huione.
Этот же кошелек ранее успешно снял около $14 миллионов за три дня после взлома DMM Bitcoin. Блокировка участвующего кошелька стала значительным ударом по цепочке отмывания и свидетельствует о том, что компании-эмитенты активнее включаются в работу по предотвращению преступной деятельности. ZachXBT в своих публикациях подробно перечисляет почти 540 адресов криптокошельков, связанных с Lazarus Group, Huione и другими субъектами, вовлечёнными в схему. Эти данные способствуют выявлению и мониторингу подозрительных операций и служат важным инструментом в борьбе с киберпреступностью. Важно отметить, что 2024 год стал рекордным по объёмам криптовалютных краж.
По информации фирмы Cyvers, с начала года было украдено криптовалют на сумму более $1,4 миллиарда. Централизованные биржи, такие как DMM Bitcoin, являются наиболее уязвимыми, потеряв целых 900% больше средств, чем за предыдущий год. В то же время, представители отрасли отмечают, что децентрализованные финансовые протоколы (DeFi) показывают повышенную устойчивость к хакерским атакам, что связано с особенностями их архитектуры и прозрачностью. Современные хакеры всё активнее применяют сложные многоступенчатые методики для отмывания денег. Благодаря таким сервисам, как Huione Guarantee, использование мультичейновых стратегий и миксеров, они значительно усложняют дорогостоящим и длительным расследованиям процесс выявления и возвращения украденных активов.
Это поднимает важный вопрос о необходимости глобального сотрудничества правоохранительных органов, криптобирж и эмитентов стейблкоинов для предотвращения и пресечения подобных преступлений. В свою очередь, криптовалютные биржи обязаны усиливать свои системы безопасности и проводить регулярные аудиты на предмет уязвимостей. Случай с DMM Bitcoin показывает, что даже крупные и давно зарекомендовавшие себя компании подвержены значительным рискам и должны инвестировать в защитные технологии и обучение сотрудников. Также общество и регуляторы всё чаще обращают внимание на перспективы ужесточения правил в сфере криптовалют, чтобы сделать использование цифровых активов более безопасным и прозрачным. В будущем меры по идентификации участников рынка, отслеживанию транзакций и контролю над подозрительными операциями могут стать обязательными стандартами для всех игроков криптоиндустрии.
