Ronino įsilaužėliai pervedė pavogtas lėšas iš ETH į BTC ir naudojo sankcionuotus maišytuvus

Hakeriai už 625 milijonų dolerių vertės Ronino tilto ataka kovo mėnesį pervedė didžiąją dalį savo lėšų iš ETH į BTC, naudodamas renBTC ir Bitcoin privatumo įrankius Blender ir ChipMixer.

Įsilaužėlių veikla buvo stebimi grandinės tyrėjas „₿liteZero“, dirbantis SlowMist ir prisidėjo į bendrovės 2022 m. vidurio „Blockchain Security“ ataskaitą. Jie apibūdino pavogtų lėšų sandorių kelią nuo kovo 23 d. išpuolio.

Didžioji dalis pavogtų lėšų iš pradžių buvo konvertuota į ETH ir išsiųsta į dabar sankcionuotą „Ethereum“ kriptovaliutų maišytuvą „Tornado Cash“, kol buvo perjungta į „Bitcoin“ tinklą ir per Ren protokolą konvertuojama į BTC.

Stebėjau pavogtas lėšas Ronino tilte.
Pastebėjau, kad Ronin įsilaužėliai pervedė visas savo lėšas į bitkoinų tinklą. Didžioji dalis lėšų buvo pervesta į maišytuvus (ChipMixer, Blender).
Šioje temoje bus parodytos sekimo analizės procedūros. pic.twitter.com/yrazcJ22xF
– ₿liteZero (@blitezero) Rugpjūtis 20, 2022

Anot pranešimo, įsilaužėliai, kurie, kaip manoma, yra Šiaurės Korėjos elektroninių nusikaltimų organizacija „Lazarus Group“.kovo 6,249 d., iš pradžių pervedė tik dalį fondo (5,028 1,219 ETH) į centralizuotas biržas, įskaitant Huobi (28 XNUMX ETH) ir FTX (XNUMX XNUMX ETH).

Iš centralizuotų biržų paaiškėjo, kad 6249 ETH buvo paverstas BTC. Tada įsilaužėliai pervedė 439 BTC (20.5 mln. USD) į „Bitcoin“ privatumo įrankį „Blender“, kuris taip pat buvo gegužę sankcionavo JAV iždas. 6. Analitikas rašė:

„Atsakymą radau „Blender“ sankcijų adresuose. Dauguma „Blender“ sankcijų adresų yra „Blender“ depozito adresai, kuriuos naudoja „Ronin“ įsilaužėliai. Pasitraukę iš biržų, jie pervedė visas išėmimo lėšas į Blenderį.

Tačiau didžioji dalis pavogtų lėšų – 175,000 XNUMX ETH – buvo pervesta „Tornado“ grynieji pinigai palaipsniui nuo balandžio 4 iki gegužės 19 d.

Vėliau įsilaužėliai naudojo decentralizuotus Uniswap ir 1 colio mainus, kad maždaug 113,000 XNUMX ETH konvertuotų į renBTC (supakuotą BTC versiją), o naudojo Ren decentralizuotą kryžminės grandinės tiltą, kad perkeltų turtą iš Ethereum į Bitcoin tinklą ir išvyniotų renBTC į BTC.

Iš ten maždaug 6,631 XNUMX BTC buvo paskirstytas įvairiems centralizuotiems mainams ir decentralizuotiems protokolams:

*Platformos, į kurias įsilaužėliai perdavė BTC. Šaltinis: SlowMist.*

Ataskaitoje taip pat teigiama, kad Ronin įsilaužėliai atsiėmė 2,871 3,460 BTC (iš 61.6 22 BTC) (XNUMX mln. USD nuo rugpjūčio XNUMX d.) naudodami Bitcoin privatumo įrankį ChipMixer.

*BTC likutis platformose po to, kai įsilaužėliai atsiėmė lėšas. Šaltinis: SlowMist.*

₿liteZero baigė „Twitter“ temą teigdamas, kad Ronin įsilaužimas tebėra „paslaptis, kurią reikia ištirti“ ir kad reikia padaryti daugiau pažangos.