Bloomchain Research

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты

Площадку UPbit взломали в ноябре 2019 года и похитили 342 000 ETH. В последующие два месяца более 236 000 ETH были отмыты через различные криптовалютные биржи. Остальные средства лежали на кошельках хакера. На прошлой неделе они пришли в движение: к 15 мая порядка 70 000 ETH направились по нескольким адресам. 

Комплаенс платформа Clain продемонстрировала движение активов с кошелька хакера UPbit. Схема состоит из тысяч ETH-адресов, использованных для отмывания.

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain.

Источник считает, что недавняя попытка отмыть украденные средства была предпринята с использованием адресов ряда крупных криптовалютных бирж. На момент публикации удалось отследить не менее 85% активов, поступавших на Binance, Huobi, OKex и другие площадки. 

На графике показаны совокупные объемы ETH, которые устремились на известные биржи:

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
Сгруппированные по дням исходящие потоки с кошелька хакера UPbit, с 4 по 16 мая 2020 г. The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain.

Усложняя анализ перемещения выведенных средств, мошенник, в том числе, использовал сервис Tokenlon, где обменивал их на USDT и другие стейблкоины. Однако в Clain отметили, что попытка провалилась, так как отмытые средства смешались с еще не отмытыми.

Полная картина входящих и исходящих потоков по кошельку хакера, с 1 по 15 мая выглядит так:

The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Clain.

Распределение отмытых в мае средств по ТОП-5 получателям:

The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain
Приток активов на адреса четырех крупнейших бирж, а также площадку Huobi через Byex, как посредника. The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain.

Как пишет источник, когда криптобиржам стало известно о поступлении «грязных» денег с UPbit, некоторые из них заявили о заморозке счетов чтобы прекратить отмывание. Однако при более детальном рассмотрении стало ясно, что большая часть адресов была создана давно, и хакер уже использовал эти адреса ранее. 

Сам по себе этот факт говорит о том, что прежде задействованные адреса не блокировались биржами. Мошенник мог многократно использовать старые аккаунты.

Вот так выглядит соотношение вновь созданных и старых адресов на разных биржах:

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain

Криптовалютная площадка Byex оказалась, по данным Clain, вовлечена в явное отмывание средств, хотя ее представители поспешили опровергнуть поступление хакерских средств. В компании уверены, что исследуемые адреса действительно принадлежат Byex и «откровенно удивлены официальным ложным заявлением».

Взломавшие Upbit хакеры снова переводят украденные Ethereum
Источник: чат Byex в Telegram

Учитывая аномальный объем поступающих средств, Byex должны были забить тревогу и попытаться пресечь действия мошенников. Но похоже, ничего не было сделано. Объем украденной криптовалюты, которая поступила на биржу, совпадает с выведенной суммой.

График движения активов на бирже Byex:

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
Красным отмечен приток украденной с UPbit криптовалюты в январе и мае. The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain

В Clain полагают, что биржа Byex использовалась для того, чтобы скрыть направление  движения средств перед их отправкой на Huobi. Приблизительно то же количество ETH, которое сначала попало на Byex, было затем направлено на Huobi. Это видно на инфографике.

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain

Представители Binance заявили, что заблокировали транзакции хакера UPbit. Однако адреса, которыми он пользовался, зарегистрированы давно и были активны. Они систематически принимали украденные средства и не заблокированы до сих пор. Ниже приведен пример такого потока:

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain

Похожее заявление сделала биржа OKex. А график подтверждает активность адреса в течение более длительного периода.

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
The most recent attempt to launder stolen UPbit hacked funds involves an array of well-known exchanges, Сlain

Наконец, Clain приводит сводную таблицу получателей украденных с UPbit средств с установленными суммами за весь период:

Clain: Адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты
Источник: GitHub