Улюблений інструмент Північної Кореї для відмивання Крипто : THORChain

Джон-Пол Торбйорнсен, колишній пілот ВПС Австралії, який став Крипто підприємцем, витратив останні тижні на просування свого нового Крипто гаманця «Vultisig». Побудований на THORChain — блокчейні, який він заснував, щоб дозволити Крипто свопи без посередників — головна перевага гаманця полягає в тому, що його важче зламати, ніж аналогічні програми.

Нещодавно компанія Vultisig разом із самою мережею THORChain побачила a сплеск активності, але експерти з безпеки простежили зростання до тривожного джерела: північнокорейської хакерської групи Lazarus.

Слідом за лютим Злом на 1,4 мільярда доларів Крипто Bybit — найбільше кібервикрадання в історії — THORChain став центральним елементом операцій з відмивання в Північній Кореї. Дослідники мають відстежили майже 1,2 мільярда доларів — або 85% — вкрадених коштів через мережу, яка стала основним інструментом режиму Кіма для переміщення Крипто між блокчейнами.

На відміну від деяких інших блокчейн-сервісів, оператори THORChain відмовилися блокувати транзакції, пов’язані з крадіжкою Bybit, незважаючи на запити ФБР та інших урядових установ. Гаманці THORChain, такі як Asgardex і Vultisig — інструменти, якими більшість людей користуються для транзакцій у мережі — також T зрушили з місця.

Згідно з підрахунками дослідників безпеки блокчейну, які спілкувалися з CoinDesk, основні розробники гаманців і валідатори THORChain — багато з яких публічно ідентифіковані та розташовані в юрисдикціях із суворими правилами боротьби з відмиванням грошей, включаючи США — заробили понад 12 мільйонів доларів на комісії, пов’язані з пограбуванням.

Торбйорнсен, публічно відомий як JP Thor, наполягає, що він більше не бере участі в щоденних операціях THORChain, але залишається її найпомітнішим захисником. «Протокол продовжує працювати та обмінюватися, незважаючи на хаос», — сказав він CoinDesk. «Насправді все чудово».

Управління з контролю за іноземними активами США (OFAC) раніше санкціонувало блокчейн-сервіси, які використовувалися для відмивання грошей, такі як мікшерний додаток Tornado Cash (який з тих пір був вилучено зі списку після а постанова суду) і Бітцлато, обмін. Прокуратура також висунула звинувачення операторам подібних платформ.

Для юридичних експертів і Крипто питання про те, чи варто THORChain — блокчейн рівня 1 — трактувати інакше, ніж ці інші сервіси, пожвавлює фундаментальну дискусію, з якою стикаються практично всі Крипто : чи справді мережа децентралізована?

Критики стверджують, що це T так — принаймні в порівнянні з такими популярними блокчейнами, як Bitcoin та Ethereum, які заслужили менше уваги за сприяння незаконним транзакціям. Прихильники THORChain «стверджують, що він децентралізований, коли це зручно, але вони отримують прибуток від цього [злому Bybit]», — сказав дослідник безпеки блокчейну Тейлор Монахан. «Це справді поганий вигляд».

Комісії THORChain за транзакції — особливо ті, які заробляють його додатки-гаманці, які обслуговуються невеликими командами розробників — ще більше ускладнюють його захист. За словами колишнього чиновника Міністерства фінансів США, «будь-хто, хто заробляє гроші на комісіях, пов’язаних з переміщенням зламаних коштів, які вже були публічно приписані Лазарусу та Північній Кореї, потенційно має проблему OFAC».

Навіть деякі з найгучніших прихильників THORChain занепокоїлися. «Коли величезна більшість ваших потоків — це викрадені кошти з Північної Кореї для найбільшого пограбування грошей в історії Human , це стане проблемою національної безпеки», — попередив розробник THORChain , відомий як «TCB» на сайті. X. «Це вже T гра».

Найбільший злом в історії

Лютневий злом Bybit, великої Крипто в Дубаї, був масштабним навіть за стандартами групи Lazarus — елітного північнокорейського кіберпідрозділу, який стоїть за більшістю найбільші Крипто крадіжки останнього десятиліття.

Злом стався після того, як засновника Bybit обманом змусили взаємодіяти з веб-сайтом, зламаним Lazarus. Помилка надала хакерам доступ до деяких основних гаманців Bybit Ethereum . Вони вкрали з біржі токени ефіру (ETH) на суму 1,4 мільярда доларів.

Північнокорейські відмивачі, добре напрацьовані після багатьох років Крипто крадіжок, негайно почали розподіляти свій рекордний обсяг між серією свіжих Крипто — перший крок у складній подорожі, спрямованій на перетворення брудної Крипто на чисту готівку.

«КНДР використовує передові технічні можливості для відмивання Криптовалюта», — пояснив Ендрю Фіерман, керівник розвідки національної безпеки в Chainalysis. Після переміщення коштів «через велику кількість гаманців-посередників» відмивачі використовують «перехресні ланцюгові мости, щоб перемістити вкрадені кошти через різні активи, такі як Bitcoin, Ethereum, TRON, Solana та інші».

THORChain виявився необхідним для етапу зв’язку, слугуючи посередником для обміну токенами між блокчейнами — часто неодноразово, щоб збити дослідників зі сліду.

«До появи THORChain не було можливості перейти з Ethereum на Bitcoin без заморожування», — пояснив Монахан, дослідник безпеки в MetaMask.

Сервіси централізованого свопу, включаючи Крипто біржі, такі як Coinbase і Binance, вимагають від користувачів реєстрації своїх облікових записів і ризику конфіскації незаконних коштів. Тим часом більшості децентралізованих сервісів не вистачає ліквідності для підтримки транзакцій у масштабі групи Lazarus.

Повідомити

На наступний день після злому Bybit щоденний обсяг свопів THORChain перевищив 529 мільйонів доларів — це найбільший торговий день за всю історію, згідно з даними DeFiLlama. Обсяги продовжували зростати кілька днів після цього, генеруючи мільйони доларів комісії за валідатори THORChain, постачальників ліквідності та гаманців.

27 лютого ФБР розповсюдило список блокчейн-адрес, пов’язаних із КНДР, і закликало «організації приватного сектора, включаючи операторів вузлів RPC, біржі, мости, аналітичні фірми блокчейну, служби DeFi та інших постачальників послуг віртуальних активів, блокувати транзакції з [ними] або отримані від них».

До цього моменту багато інших Крипто , які використовують північнокорейські відмивачі, вже почали блокувати діяльність, пов’язану з пограбуванням.

Tether, найбільший оператор стейблкойнів, зрештою заморозив 9 мільйонів доларів пов’язаний із пограбуванням, і Mantle, a блокчейн рівня 2 підключений до Ethereum, завис Ще 41 мільйон доларів. ONE платформа — децентралізована біржа, керована компанією OKX — повністю призупинив надання послуг.

На мить THORChain здалося, що він може Соціальні мережі цей приклад. У відповідь на повідомлення ФБР група валідаторів THORChain скоординувала роботу, щоб зупинити обмін Ethereum на протоколі — крок, спрямований на уповільнення відтоку незаконних коштів. Але пауза тривала всього 30 хвилин, перш ніж її було скасовано після протидії спільноти.

«Немає і не може бути доказів того, що будь-яка підписана та розповсюджена транзакція відбувається з певного географічного місця», — сказав Торбйорнсен CoinDesk, стверджуючи, що будь-які зв’язки між THORChain і Північною Кореєю є «передбачуваними», оскільки користувачі мережі не змушені реєструватися.

Скасування паузи виявилося переломним моментом для деяких у спільноті THORChain . «Відразу я більше не буду робити внесок у THORChain», — написав провідний розробник протоколу, відомий як «Плутон». X пост.

Театр децентралізації?

Торбйорнсен та інші стверджують, що THORChain слід розглядати як децентралізований протокол, як Bitcoin або Ethereum, жоден з яких не заблокував транзакції після крадіжки Bybit.

Вони вказують на спільноту з понад 100 валідаторів — комп’ютерів, які перевіряють транзакції — як доказ того, що жодна особа не контролює систему.

Модель управління THORChain спирається на ці валідатори, які роблять ставку на рідний токен мережі RUNE , щоб брати участь у консенсусі та отримувати винагороди. Теоретично основні протокольні рішення вимагають схвалення надзвичайної більшості цих валідаторів, створюючи розподілену структуру влади, стійку до централізованого контролю.

Однак критики стверджують, що мережа не настільки децентралізована, як стверджується. У січні один забудовник призупинив мережу під час кризи ліквідності — дія, яка мала б вимагати консенсусу валідатора, якби система була більш децентралізованою.

Коли THORChain брав участь у попередніх операціях з відмивання в Північній Кореї, «нам сказали, що вони нічого не можуть зробити з незаконними коштами», — сказав Монахан. «Увесь час у JP був єдиний приватний ключ, який контролював всю систему».

Торбйорнсен визнає, що ланцюжок був призупинений адміністративним ключем у момент, коли THORChain зіткнувся з «екзистенційною» загрозою.

Паузу оголосив розробник з псевдонімом «Leena». Торбйорнсен створив обліковий запис Leena на початку розробки THORChain і спочатку використовував його, щоб приховати свою справжню особу.

Тепер він каже, що обліковий запис Leena більше не контролюється виключно ним, і хтось інший призупинив ланцюжок відповідно до прийнятних процедур безпеки. «Ключ використовувався власником ключа — а реєстру власників ключів немає», — сказав він.

Для Торбйорнсена дискусія про те, хто контролював ключ адміністратора, не має більшого значення.

«У перші кілька років існування Bitcoin можна було легко стверджувати, що Bitcoin був повністю централізованим», — сказав він CoinDesk, вказуючи на випадок у 2010 році Сатоші оновив оригінальний блокчейн, щоб виправити серйозну помилку.

«Децентралізація заслужена, і вона зароблена роками перебування на арені та доведення цього», — сказав Торбйорнсен. «Всі ці речі, як-от пауза та скасування паузи… це все частина шляху до децентралізації».

Справа як завжди

1 березня, у найбільший торговий день THORChain після крадіжки Bybit, мережа зафіксувала свопи на суму понад 1 мільярд доларів США, що більше, ніж зазвичай обробляється за цілий місяць.

Діяльність стала благом для постачальників інфраструктури THORChain — служб гаманців і валідаторів, які беруть частину кожної транзакції в мережі.

За даними криміналістичної фірми Chainalysis, оператори вузлів THORChain заробили щонайменше 12 мільйонів доларів на комісії, пов’язані з пограбуванням Bybit. Chainalysis назвав свою оцінку «консервативною».

На думку юридичних експертів, саме ці збори можуть призвести до проблем операторів THORChain. Колишній чиновник Міністерства фінансів США попередив в інтерв’ю CoinDesk , що «багато з цього зводиться лише до питання про те, хто заробляє гроші: чи це зосереджена група людей, і чи відносно відомо, що [кошти] надходять від поганих акторів?»

Програми Wallet, такі як Vultisig і Asgardex, заслужили особливу увагу експертів з права та безпеки, оскільки «інтерфейсні» програми, які використовуються для взаємодії з блокчейнами, зазвичай вважаються більш централізованими, ніж самі блокчейни.

За словами Монахана, Asgardex, ONE із найпопулярніших гаманців THORChain , заробив 1 мільйон доларів на транзакціях, пов’язаних із Bybit. «Причина, чому ви використовуєте Asgardex» на відміну від інших гаманців THORChain , «полягає в тому, що ви T хочете відстежувати — ви T хочете фільтрувати чи щось інше», — сказав Торбйорнсен, який допомагав розробляти програму.

Торбйорнсен каже, що він більше не має операційної чи фінансової частки в Asgardex, який є відкритим вихідним кодом і технічно може бути перепрограмований користувачами для роботи без комісій. Однак нещодавно він активно рекламував VultiSig, свій новий стійкий до злому гаманець THORChain .

20 березня Торбйорнсен похвалився в ан X пост що більше людей, ніж будь-коли, користуються додатком: "Наразі свопи Vultisig зібрали 200 тисяч доларів доходу!" ZachXBT, Крипто , відомий розслідуванням кібероперацій Північної Кореї, відповів, вказавши, що «хороша частина цього доходу отримана від злому Bybit».

«Vultisig — це не ланцюг», — сказав ZachXBT. «T використовують централізований інтерфейс для взаємодії користувачів із протоколами за плату».

16 квітня Vultisig запускає свій офіційний Крипто : VULT. Токен буде розповсюджений безкоштовно серед найлояльніших користувачів гаманця.