Криптовалютные кошельки, в том числе принадлежащие биржам, подвержены рискам взлома, несмотря на все меры для их минимизации.

Недавний крупный взлом биржи KuCoin, приведший к убыткам на $150 миллионов, еще раз напомнил о проблемах безопасности криптовалютных сервисов и индустрии в целом. После взломов хакерам очень часто удается отмыть и обналичить украденные криптоактивы. Технический директор биржи CEX.IO Дмитрий Волков рассказал, как преступники выводят криптоактивы после кражи и как биржи и другие сервисы препятствуют им в этом.

Как известно, лучшее решение проблемы — это ее профилактика. Для защиты от взломов и минимизации потерь биржам приходится выстраивать комплексную систему безопасности и строго следить за соблюдением всех правил. Обычно применяют такие методы:

Холодные и горячие кошельки. Основная часть криптовалют хранится на холодном кошельке с повышенными мерами безопасности. Такой кошелек не подключен к интернету и не используется в обычных операциях. Любой горячий кошелек теоретически подвержен взлому, и на нем хранится только небольшая часть активов, потеря которых не разрушит компанию.

Кошельки с мультиподписью. Если это технически возможно, применяют кошельки с множественной подписью, и ключи для подписи распределены. Чтобы вывести средства с такого кошелька требуется подтверждение нескольких не связанных людей или систем.

Мониторинг. Если взлом произошел, его нужно как можно быстрее заметить и отреагировать. Своевременная реакция может остановить работу хакеров и минимизировать убытки.

Взаимодействие сервисов. Если взлом уже произошёл и криптоактивы выведены с биржи, есть шанс вернуть или заморозить часть денег. Это требует слаженного взаимодействия компаний и участников сообщества.

Процесс отмывания денег после кражи особенно интересен в мире криптовалют по сравнению с классическим миром финансов.     

Если кража произошла с банковского счета, то злоумышленник пытается делать запутанные банковские переводы, используя разные страны, разные платежные системы, чтобы усложнить заморозку средств. Любой банк и платежная система могут заблокировать счет или даже отменить транзакцию. Поэтому важно, насколько быстро будут отслеживаться операции и счета, используемые преступником для отмывания и насколько финансовые структуры будут сотрудничать между собой для борьбы с отмыванием денег. Главное здесь - сама возможность блокировки счетов до вывода с них денег. Она практически всегда существует в мире классических финансов.

Как злоумышленники отмывают криптоактивы и как им помешать?

Остановить и даже отследить движение украденных криптовалют обычно крайне сложно. Так же, как и в классических финансах, злоумышленник старается как можно быстрее совершить запутанные операции, чтобы усложнить отслеживание и заморозку криптоактивов. Но в некоторых случаях существует возможность вовремя выявить и остановить транзакции преступников.

Какие приемы хакеры применяют для отмывания украденных криптовалют?

Миксеры. Это специальные сервисы, обычно не совсем легальные, которые “смешивают” криптовалюты разных пользователей, чтобы усложнить отслеживание. Как самый простой и дешевый миксер иногда используются кошельки бирж. Злоумышленник может завести криптовалюту на биржу и сразу же вывести. На кошельках биржи украденные токены смешиваются с токенами других пользователей, и преступник при успешном выводе получает "чистый" криптоактив.

Конвертация в другие криптоактивы. Злоумышленники активно конвертируют одну криптовалюту в другую, чтобы разорвать цепочку транзакций и усложнить отслеживание. Недавний взлом KuCoin интересен тем, что конвертацию украденных токенов проводились через децентрализованные биржи (DEX), в том числе через Uniswap. Это первый громкий случай отмывания денег через DeFi. Часто происходит конвертация в анонимные криптовалюты, которые отследить значительно сложнее.

Фиктивное использование сервисов. Злоумышленник может использовать реальные сервисы (лотереи, займы в криптовалюте и т.д.) имитируя какую-то реальную деятельность, усложняя отслеживание и получая уже “отмытые” деньги из этих сервисов. Но это довольно длительный и кропотливый процесс.

Распределение на подставных лиц. На последнем шаге злоумышленники стараются разбить общую сумму на много мелких и использовать группу подставных лиц для обналичивания денег разными путями.

В описанных выше способах отмывания денег на том или ином этапе часто встречаются централизованные сервисы. Как уже написано выше, внесенные на них деньги, в том числе в криптовалютах, можно заморозить и вернуть настоящим владельцам, а часто даже выйти на след преступников. 

Какие методы используются для борьбы с отмыванием криптоактивов после кражи?

  1. Если криптоактивы проходят через частично централизованные токены, у которых есть контролирующий орган, то компании взаимодействуют, чтобы заблокировать адрес или даже отменить транзакцию. Такие возможности, например, есть в сети Ripple и некоторых стейблкоинах. Биткоины в теории возможно заморозить только в случае, если удастся договориться с большинством майнеров, чтобы они не обрабатывали транзакции с определенного адреса. На практике такого никогда не происходило.

  2. Компании договариваются внести отдельные адреса кошельков в список подозрительных. Если криптоактивы проходят через централизованные легальные биржи, которые готовы сотрудничать в борьбе с отмыванием денег, то полученные с этих адресов криптовалюты могут быть заморожены до завершения расследования.

  3. Если злоумышленники пытаются обналичить украденное через централизованные стейблкоины, их эмитенты могут заблокировать токены или отказать в обмене стейблкоинов на фиатные деньги. Эмитенты стейблкоинов также ведут списки подозрительных адресов. Это мотивирует биржи и другие сервисы блокировать токены, пришедшие с этих адресов. Такое уже случалось с USDT. 

  4. Биржи обычно с большим подозрением относятся к криптовалютам, прошедшим через миксеры. Часто такие монеты блокируются, и от пользователя требуется предоставить подтверждение их происхождения.

  5. Компании используют аналитические сервисы, которые могут отслеживать даже очень запутанные цепочки транзакций и миксеры. Среди них наиболее популярны Chainalysis и Crystal.

Комплексное использование этих средств и методов борьбы позволяет в некоторых случаях отследить и задержать украденные криптоактивы.