Недавний крупный взлом биржи KuCoin, приведший к убыткам на $150 миллионов, еще раз напомнил о проблемах безопасности криптовалютных сервисов и индустрии в целом. После взломов хакерам очень часто удается отмыть и обналичить украденные криптоактивы. Технический директор биржи
CEX.IO Дмитрий Волков рассказал, как преступники выводят криптоактивы после кражи и как биржи и другие сервисы препятвтвуют им в этом.
Как известно, лучшее решение проблемы — это ее профилактика. Для защиты от взломов и минимизации потерь биржам приходится выстраивать комплексную систему безопасности и строго следить за соблюдением всех правил. Обычно применяют такие методы:
Холодные и горячие кошельки. Основная часть криптовалют хранится на холодном кошельке с повышенными мерами безопасности. Такой кошелек не подключен к интернету и не используется в обычных операциях. Любой горячий кошелек теоретически подвержен взлому, и на нем хранится только небольшая часть активов, потеря которых не разрушит компанию.
Кошельки с мультиподписью. Если это технически возможно, применяют кошельки с множественной подписью, и ключи для подписи распределены. Чтобы вывести средства с такого кошелька требуется подтверждение нескольких не связанных людей или систем.
Мониторинг. Если взлом произошел, его нужно как можно быстрее заметить и отреагировать. Своевременная реакция может остановить работу хакеров и минимизировать убытки.
Взаимодействие сервисов. Если взлом уже произошёл и криптоактивы выведены с биржи, есть шанс вернуть или заморозить часть денег. Это требует слаженного взаимодействия компаний и участников сообщества.
Процесс отмывания денег после кражи особенно интересен в мире криптовалют по сравнению с классическим миром финансов.
Если кража произошла с банковского счета, то злоумышленник пытается делать запутанные банковские переводы, используя разные страны, разные платежные системы, чтобы усложнить заморозку средств. Любой банк и платежная система могут заблокировать счет или даже отменить транзакцию. Поэтому важно, насколько быстро будут отслеживаться операции и счета, используемые преступником для отмывания и насколько финансовые структуры будут сотрудничать между собой для борьбы с отмыванием денег. Главное здесь — сама возможность блокировки счетов до вывода с них денег. Она практически всегда существует в мире классических финансов.
Как злоумышленники отмывают криптоактивы и как им помешать?
Остановить и даже отследить движение украденных криптовалют обычно крайне сложно. Так же, как и в классических финансах, злоумышленник старается как можно быстрее совершить запутанные операции, чтобы усложнить отслеживание и заморозку криптоактивов. Но в некоторых случаях существует возможность вовремя выявить и остановить транзакции преступников.
Какие приемы хакеры применяют для отмывания украденных криптовалют?
Миксеры. Это специальные сервисы, обычно не совсем легальные, которые “смешивают” криптовалюты разных пользователей, чтобы усложнить отслеживание. Как самый простой и дешевый миксер иногда используются кошельки бирж. Злоумышленник может завести криптовалюту на биржу и же вывести. На кошельках биржи украденные токены смешиваются с токенами других пользователей, и преступник при успешном выводе получает «чистый» криптоактив.
Конвертация в другие криптоактивы. Злоумышленники активно конвертируют одну криптовалюту в другую, чтобы разорвать цепочку транзакций и усложнить отслеживание. Недавний взлом KuCoin интересен тем, что конвертацию украденных токенов проводились через децентрализованные биржи (DEX), в том числе через Uniswap. Это первый громкий случай отмывания денег через DeFi. Часто происходит конвертация в анонимные криптовалюты, которые отследить значительно сложнее.
Фиктивное использование сервисов. Злоумышленник может использовать реальные сервисы (лотереи, займы в криптовалюте и т.д.) имитируя какую-то реальную деятельность, усложняя отслеживание и получая уже “отмытые” деньги из этих сервисов. Но это довольно длительный и кропотливый процесс.
Распределение на подставных лиц. На последнем шаге злоумышленники стараются разбить общую сумму на много мелких и использовать группу подставных лиц для обналичивания денег разными путями.
В описанных выше способах отмывания денег на том или ином этапе часто встречаются централизованные сервисы. Как уже написано выше, внесенные на них деньги, в том числе в криптовалютах, можно заморозить и вернуть настоящим владельцам, а часто даже выйти на след преступников.
Какие методы используются для борьбы с отмыванием криптоактивов после кражи?
-
Если криптоактивы проходят через частично централизованные токены, у которых есть контролирующий орган, то компании взаимодействуют, чтобы заблокировать адрес или даже отменить транзакцию. Такие возможности, например, есть в сети Ripple и некоторых стейблкоинах. Биткоины в теории возможно заморозить только в случае, если удастся договориться с большинством майнеров, чтобы они не обрабатывали транзакции с определенного адреса. На практике такого никогда не происходило.
-
Компании договариваются внести отдельные адреса кошельков в список подозрительных. Если криптоактивы проходят через централизованные легальные биржи, которые готовы сотрудничать в борьбе с отмыванием денег, то полученные с этих адресов криптовалюты могут быть заморожены до завершения расследования.
-
Если злоумышленники пытаются обналичить украденное через централизованные стейблкоины, их эмитенты могут заблокировать токены или отказать в обмене стейблкоинов на фиатные деньги. Эмитенты стейблкоинов также ведут списки подозрительных адресов. Это мотивирует биржи и другие сервисы блокировать токены, пришедшие с этих адресов. Такое уже случалось с USDT.
-
Биржи обычно с большим подозрением относятся к криптовалютам, прошедшим через миксеры. Часто такие монеты блокируются, и от пользователя требуется предоставить подтверждение их происхождения.
-
Компании используют аналитические сервисы, которые могут отслеживать даже очень запутанные цепочки транзакций и миксеры. Среди них наиболее популярны Chainalysis и Crystal.
Комплексное использование этих средств и методов борьбы позволяет в некоторых случаях отследить и задержать украденные криптоактивы.