С большой вероятностью в отмывании части средств, похищенных у FTX в ноябре 2022 года, участвовал связанный с РФ брокер или другой посредник. К такому выводу пришли эксперты Elliptic.
Взломщик начал несанкционированный вывод средств в день подачи биржей заявления о банкротстве. За несколько часов он изъял из кошельков платформы $477 млн в различных криптовалютах.
Украденные у FTX криптоактивы. Данные: Elliptic.
Из украденных активов $434 млн составили стейблкоины и другие токены, эмитенты которых могли заморозить средства по запросу. Частично так и произошло, например, с $31,5 млн в USDT.
Чтобы избежать дальнейших блокировок, хакер начал переводить криптовалюты в Ethereum. Он использовал для конвертации децентрализованные биржи, включая Uniswap и PancakeSwap, и задействовал кроссчейн-мосты Multichain и Wormhole.
Уже через три дня после взлома на Ethereum-аккаунте злоумышленника хранилось 245 000 ETH (~$306 млн на момент написания). Эксперты Elliptic отметили, что его добыча к тому моменту «значительно сократилась» из-за конфискаций и затрат на срочные свопы.
20 ноября 65 000 ETH из кошелька были переведены в блокчейн биткоина через кроссчейн-протокол RenBridge, принадлежащий Alameda Research — дочерней компании FTX.
Из полученных после конвертации 4536 BTC хакер отправил 2849 BTC в сервисы микширования, преимущественно в ChipMixer. Аналитики определили, что этим путем активы примерно на $4 млн были обналичены через биржи.
«Значительные суммы украденных активов, которые можно отследить с помощью ChipMixer, объединяются со средствами связанных с Россией преступных группировок, в том числе, занимающихся вымогательством и даркнет-рынками, а затем отправляются на биржи. Это указывает на участие брокера или другого посредника, имеющего связи в РФ», — подчеркнули эксперты Elliptic.
Оставшиеся в кошельке злоумышленника 180 000 ETH лежали без движения следующие девять месяцев. 30 сентября 2023 года хакер возобновил операции по отмыванию средств.
Однако RenBridge прекратил работу вскоре после краха FTX. В марте 2023 года власти США, Германии и ряда европейских стран отключили инфраструктуру миксера ChipMixer и изъяли средства на платформе.
Поэтому взломщик продолжил реализацию схемы с помощью кроссчейн-моста THORChain и сервиса микширования Sinbad.
Последний часто задействует группировка Lazarus Group, обвиняемая в ряде крупнейших криптовалютных взломов. Это дало почву для предположений, что она же стоит за кражей средств FTX. Но аналитики Elliptic обратили внимание, что северокорейские хакеры прибегают к более изощренным и сложным методам легализации денег, чем у взломщика биржи.
Напомним, по подсчетам экспертов компании, объем незаконных криптоактивов, отмытых с использованием кроссчейн-операций, достиг рекордных $7 млрд за год
