Злом на 90 мільйонів доларів найбільшої криптобіржі Ірану, Nobitex, привернув увагу світових ЗМІ. Однак нові дані з блокчейну свідчать про те, що цей інцидент виявив щось значно більше.
Згідно з судово-експертним звітом компанії з блокчейн-розвідки Global Ledger, за кілька місяців до атаки 18 червня Nobitex систематично переміщувала кошти користувачів, використовуючи техніки, які зазвичай асоціюються з відмиванням коштів.
Чи займалася іранська біржа Nobitex відмиванням коштів користувачів до хакерської атаки?
Дані з блокчейну показують, що Nobitex використовувала метод, відомий як peelchaining. Це коли великі обсяги біткоїна розбиваються на менші частини і проходять через короткочасні гаманці.
Ця техніка ускладнює відстеження коштів і часто використовується для приховування походження грошей. У випадку Nobitex аналітики виявили, що біткоїн циклічно переміщувався у стабільних партіях по 30 токенів.
Global Ledger також виявила, що Nobitex використовувала тимчасові адреси для депозитів і зняття коштів — поведінка, відома як транзакції chip-off. Ці одноразові адреси спрямовують біткоїн у нові гаманці, маскуючи сліди ліквідності.
«Рятівний гаманець» не був новим
Після злому Nobitex заявила, що перемістила залишки коштів як захід безпеки. Дійсно, активність на блокчейні показала переміщення 1 801 біткоїна (вартістю приблизно 187,5 мільйонів доларів) у новостворений гаманець.
Але цей гаманець не був новим. Дані з блокчейну простежують його історичне використання до жовтня 2024 року. Гаманець давно збирав кошти, що були chipped-off.
Цей “рятувальний гаманець” отримував численні перекази по 20–30 біткоїнів, які слідували тим самим схемам, схожим на відмивання коштів, навіть до того, як стався злом.
Дії після злому свідчать про збереження контролю
Через кілька годин після злому Nobitex перемістила кошти зі свого вразливого гарячого гаманця на іншу внутрішню адресу. Це повне переміщення балансу вказувало на те, що Nobitex зберігала оперативний контроль.
19 червня слідчі зафіксували, що 1 783 біткоїни знову були переведені на новий гаманець. Це відповідало публічній заяві Nobitex про забезпечення своїх активів — але тепер з додатковим контекстом.
Ці потоки свідчать про те, що замість реакції на злом, Nobitex просто дотримувалася свого попереднього плану відмивання коштів.
Проізраїльська хакерська група Gonjeshke Darande опублікувала файли, що розкривають внутрішню структуру гаманців Nobitex.
Злом міг шокувати користувачів, але дані з блокчейну показують, що Nobitex вже давно переміщувала кошти таким чином.
Старі гаманці, пов’язані з біржею, регулярно відправляли біткоїн на нові гаманці. Звідти кошти розбивалися на менші суми і переміщувалися знову і знову — часто партіями по 20 або 30 біткоїнів.
Цей метод ускладнює відстеження кінцевого місця призначення грошей. Це схоже на те, як деякі люди приховують свої сліди при переміщенні коштів через криптовалюту.
Важливо зазначити, що це не було чимось, що Nobitex почала робити після злому. Вони робили це задовго до цього і продовжували робити після — майже як стандартна процедура.
Один гаманець зокрема — bc1q…rrzq — з’являється знову і знову. Він отримував багато депозитів від користувачів і, здається, є відправною точкою для багатьох з цих важковідстежуваних переміщень коштів.
Коротко кажучи, злом не змусив Nobitex змінити спосіб обробки коштів. Він просто вивів тривалу діяльність за лаштунками на публічний огляд.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.
