Введение
Согласно данным аналитической компании Global Ledger, приблизительно 46% украденных средств остаются без движения на блокчейне, что открывает возможности для их восстановления.
Проблема отслеживания средств
Системы, преследующие хакеров, по-прежнему не догоняют их. Новый отчет Global Ledger, основанный на анализе сотен инцидентов на блокчейне, показывает, что в большинстве случаев украденные средства поступают на пути отмывания денег еще до того, как взлом станет известен общественности. В среднем от момента хакерской атаки до публичного раскрытия инцидента проходит 43,83 часа — как сообщает crypto.news.
Хакеры обычно перемещают украденные средства к первому идентифицированному объекту, такому как обменник, криптомиксер или децентрализованный финансовый протокол, в течение 46,74 часов. Однако наибольшая задержка наблюдается между публичным раскрытием инцидента и вмешательством злоумышленника в услуги отмывания денег — этот промежуток в среднем составляет 78,55 часов. Таким образом, средства зачастую оказываются в пути задолго до того, как о взломе становится широко известно.
Анализ временных интервалов
Исследователи Global Ledger измерили четыре ключевых временных интервала, основываясь на сотнях инцидентов:
- время от взлома до перемещения средств,
- от взлома до сообщения о нем,
- от взлома до первого взаимодействия с объектом,
- от публичного раскрытия до отмывательной активности.
Каждая задержка имеет свою историю.
Динамика перемещения средств
Например, атаки на NFT проекты демонстрируют самые медленные перемещения средств. В среднем на перемещение средств от первых до последних известных объектов в цепочке отмывания уходит 563,63 часа — почти 24 дня. Это более чем в два раза превышает среднее время задержки, наблюдаемое в случае атак на централизованные обмены, которое составляет около 425 часов.
Сооснователь и CEO Global Ledger Лекс Фисун в эксклюзивном комментарии для crypto.news отметил, что длительная задержка в случае NFT связана не только с низкой ликвидностью, поскольку эти токены «уникальны и их сложнее быстро реализовать».
«Отмывание денег в таких случаях часто связано с умыванием сделок или социальной инженерией. Вспомните, к примеру, дело The Idols, когда злоумышленник вытащил 340,000 долларов в stETH, но оказался в затруднительном положении с связанными NFT» — добавил он.
Разные пути отмывания
Отчет подчеркивает, что пути отмывания зависят от типа проекта, который стал жертвой атаки. Платформы и токены DeFi в среднем показывают перемещение средств через каналы отмывания в пределах 230 часов, в то время как платежные платформы демонстрируют самый быстрый оборот: всего 0,6 часа. Игровые проекты и метавселенные также отмечаются среди более быстрых перемещений, занимая менее 25 часов.
Несмотря на скорость и фрагментацию потоков средств, значительное количество украденных активов остается нетронутым. Согласно данным, почти 46% украденных средств все еще находятся в неподвижном состоянии, что корректирует возможные перспективы для их отслеживания и потенциального восстановления задолго после инцидента.
Кросс-чейн маршруты и инструменты отмывания
Хотя многие средства остаются без движения, растущая доля уходит через труднее отслеживаемые кросс-чейн маршруты. Отчет гласит, что 42,23% украденных средств были перемещены через цепи, минуя специфичные для цепи системы мониторинга. Фисун объяснил, что кросс-чейн мосты уже стали одним из самых главных инструментов отмывания денег для обхода специализированного мониторинга цепей.
«И хотя повторное использование может привлечь внимание к борьбе с отмыванием денег (AML), ситуация с Tornado Cash показывает, что санкции меняют тактики, а не спрос» — добавил Фисун.
Tornado Cash и другие инструменты
Данные Global Ledger также показывают, что Tornado Cash остается доминирующим протоколом отмывания, использовавшимся в более чем 50% отслеживаемых случаев. Несмотря на санкции Министерства финансов США в 2022 году и нарастающее давление со стороны регуляторов по всему миру, данный сервис продолжает играть центральную роль в отмывании средств после взломов. Его использование вновь возросло после решения суда США, которое отменило санкции на конституционных основаниях в 2024 году.
Другие инструменты конфиденциальности также становятся все более популярными. Например, Railgun использовался в 20% случаев, а Wasabi Wallet — в 10%. Chainflip, CoinJoin и CryptoMixer вовлечены в менее чем 7% потоков отмывания, как следует из отчетов.
Заключение
Фисун отметил, что более медленные потоки через централизованные обмены — сейчас в среднем более 425 часов — не обязательно отражают лишь лучшее соблюдение. Это сочетание факторов, добавил CEO Global Ledger, пояснив, что длительный временной интервал «не является сбоем, а задуманной стратегией», поскольку злоумышленники делят активы, перескакивают между цепями и используют протоколы конфиденциальности для перемещения украденных средств через CEX, которые «стараются задерживать потоки, выглядящие подозрительно.»
Только небольшая часть средств заморожена органами правопорядка или комплаенс-командами. Отчет подчеркивает, что реакции в реальном времени остаются редкими, несмотря на то что аналитические и мониторинговые инструменты продолжают развиваться.
Хотя цифры указывают на продолжающиеся проблемы, они также подчеркивают, где защитники могут обрести преимущество. Временные разрывы — иногда измеряемые в днях — показывают, что есть еще пространство для действия до того, как украденные средства полностью исчезнут.
