Выводы на базе инструментов Chainalysis поставили под сомнение

В кейсе о вымогательстве нескольких миллионов долларов у компании CWT из отчета CipherBlade может содержаться ошибка. Аналитики опираются на данные, полученные посредством инструментария Chainalysis. Альтернативное расследование комплаенс-платформы Clain показало, что более трети полученных незаконным путем средств не были отправлены на крупную биржу, а ушли в ином направлении. 

В конце июля 2020 года хакеры завладели конфиденциальной информацией одной из крупнейших компаний в сфере делового туризма – CWT. Злоумышленники заблокировали доступ к данным при помощи программы-вымогателя (ransomware) и потребовали выкуп. CWT заплатила 414 BTC – на тот момент около $4,5 млн. 

Спустя несколько месяцев агентство CipherBlade опубликовало исследование о различных способах вымогательства, где в качестве примера описан инцидент с CWT. В своем обзоре компания использовала инструменты сервиса Chainalysis – одного из крупнейших игроков в области блокчейн-расследований. На счету Chainalysis 270 клиентов из числа финансовых и государственных организаций в 40 странах мира.

В чем ошиблись CipherBlade

Из обзора следует, что средства, полученные хакерами от CWT, были раздроблены и отправлены на четыре криптовалютные биржи при помощи множества мелких транзакций. Позже генеральный директор CipherBlade Рич Сандерс уточнил, что большая часть криптовалюты была переведена на Binance, а остальная – на Huobi, Poloniex и Coinbase.

Судя по отчету CipherBlade, преступники не стали использовать миксеры – специальные сервисы, которые усложняют или вовсе исключают возможность проследить пути криптовалюты. Однако аналитики комплаенс-платформы Clain утверждают, что хакеры отмыли значительную часть средств именно через них, а не через криптовалютные биржи. 

CipherBlade могли сделать неточные выводы на основе аналитического инструмента Reactor от Chainalysis. В обзоре приведен скриншот из Reactor, который иллюстрирует схему вывода средств через счета на четырех биржах без участия миксеров.

Схема вывода средств, полученных от CWT, по данным CipherBlade и Chainalysis. Заштрихованное поле, красные стрелки и числа в верхней части графика – дополнения Clain, показывающие движение части средств через миксер BitMix.

По данным Clain, в последующие пять дней после получения средств от CWT хакеры перевели ⅔ средств по двум основным направлениям. Первое – счета биржи Binance. На них отправили 173 из 414 BTC или 42%. Мошенники использовали пилинговые транзакции, то есть многократное дробление изначальной суммы на более мелкие части. При этом почти все средства в итоге оказались разделены пополам между двумя кошельками – для этого в общей сложности были проведены 18 транзакций.

«Злоумышленники либо успешно прошли KYC на Binance, либо купили верифицированный аккаунт на бирже на черном рынке. Об этом говорит тот факт, что деньги, полученные мошенническим путем, были накоплены в большом количестве и посредством множества последовательных транзакций. В противном случае преступникам потребовалось бы более 40 дней на вывод средств, потому что на Binance действует дневной лимит в 2 BTC при неподтвержденном выводе криптовалют», – отметили в Clain. Служба поддержки биржи указывает, что при полной верификации с фото пользователя лимит расширяется до 100 BTC в сутки, если же оставить только e-mail, то порог вывода не превысит 2 BTC. 

Вывод средств, полученных от CWT, в течение первых пяти дней после получения выкупа. Данные Clain

Еще 149 BTC или 36% были отмыты через BitMix – миксер, который позволяет пользователям сохранять анонимность при использовании криптовалют. Он фактически «разрывает» связь между отправителем и средствами, которые он перевел на счета этого сервиса. 

В Clain отметили, что операции с BitMix очень похожи на пилинговые транзакции со счетами биржи Binance. Однако, в отличие от базы Chainalysis, их аналитические инструменты подтверждают, что хакеры отправили часть полученных средств именно на BitMix.

По данным аналитиков компании, ранее BitMix также использовался для отмывания средств, полученных при помощи NetWalker – еще одной известной программы-вымогателя. Она помогла преступникам всего за несколько месяцев заработать $25 млн.

Вывод средств, заработанных при помощи NetWalker. Данные Clain

В мае компания Clain выяснила, что адреса известных бирж использовались для отмывания украденной с UPbit криптовалюты.

В последнее время объем преступных средств, отправляемых на биржи и с них постепенно снижается. Ключевая причина – ужесточение контроля. Роль миксеров, напротив, растет. На них уже приходится пятая часть всех криптовалютных переводов из даркнета. Объем еще не обналиченной криптовалюты в миксерах может превышать $1,5 млрд
← Назад Поделиться: