Дослідники стверджують, що Північна Корея використовувала THORChain для відмивання $1,2 млрд після найбільшої в історії криптовалютної крадіжки.
<Джон-Пол Торбйорнсен, колишній пілот австралійських ВПС, який став криптопідприємцем, провів останні тижні, просуваючи свій новий криптогаманець "Vultisig". Побудований на THORchain - блокчейні, який він заснував для здійснення криптовалютних обмінів без посередників, - гаманець приваблює тим, що його важче зламати, ніж аналогічні додатки.
<Нещодавно Vultisig - разом з самою мережею THORChain - побачив зростання , але експерти з безпеки простежили зростання до тривожного джерела: північнокорейська хакерська група Lazarus.
Після лютневого пограбування криптобіржі Bybit – найбільшого кібер-грабежу в історії – THORChain стала центральною ланкою в операціях Північної Кореї з відмивання грошей. Дослідники встановили, що 85% викрадених коштів пройшли через цю мережу, яка стала основним інструментом режиму Кіма для переміщення криптовалют між блокчейнами.
На відміну від деяких інших блокчейн-сервісів, оператори THORChain відмовилися блокувати транзакції, пов’язані з пограбуванням Bybit, незважаючи на запити ФБР та інших державних органів. Гаманці THORChain, такі як Asgardex і Vultisig – інструменти, які більшість людей використовують для здійснення транзакцій в мережі – також не зрушили з місця.
За оцінками дослідників безпеки блокчейна, які поспілкувалися з CoinDesk, основні розробники і валідатори гаманців THORChain – багато з яких публічно ідентифіковані і базуються в юрисдикціях зі строгими правилами боротьби з відмиванням грошей, в тому числі в США – заробили понад $12 млн у вигляді гонорарів, пов’язаних з пограбуванням.
<Торбйорнсен, відомий як JP Thor, наполягає на тому, що він більше не бере участі в щоденних операціях THORchain, але залишається її найвідомішим захисником. "Протокол продовжує працювати і обмінюватися, незважаючи на хаос, - сказав він CoinDesk. "Насправді, він працює чудово".
Управління з контролю за іноземними активами США (OFAC) раніше наклало санкції на блокчейн-сервіси, що використовуються у зв’язку з відмиванням грошей, такі як додаток-міксер Tornado Cash (який з тих пір був після ) і , біржа. Прокурори також висунули звинувачення операторам, які стоять за подібними платформами.
Для юристів та криптоспільноти питання про те, чи слід ставитися до THORChain – блокчейну першого рівня – інакше, ніж до інших сервісів, відроджує фундаментальну дискусію, з якою стикаються практично всі криптовалютні платформи: Чи є мережа дійсно децентралізованою?
Критики стверджують, що ні – принаймні, у порівнянні з популярними блокчейнами, такими як біткоїн та ефіріум, які менше піддаються критиці за сприяння незаконним транзакціям. Прихильники THORchain “стверджують, що вона децентралізована, коли це зручно, але вони наживаються на цьому [зломі Bybit]”, – каже дослідник безпеки блокчейну Тейлор Монахан. “Це дуже погано виглядає”.
<Комісії за транзакції, які отримує THORChain, особливо ті, що заробляють додатки-гаманці, які підтримуються невеликими командами розробників, ще більше ускладнюють її захист. За словами колишнього співробітника Міністерства фінансів США, "будь-хто, хто заробляє на комісіях, пов'язаних з переміщенням зламаних коштів, які вже публічно приписують Lazarus і Північній Кореї, потенційно має проблеми з OFAC".
Навіть деякі з найпалкіших прихильників THORChain занепокоєні. “Коли переважна більшість ваших потоків – це вкрадені кошти з Північної Кореї для найбільшої крадіжки грошей в історії людства, це стане питанням національної безпеки”, – застеріг розробник THORChain, відомий як “TCB”, на . “Це вже не гра”.
Найбільший злом в історії
<Лютневий злом Bybit, великої криптовалютної біржі в Дубаї, був великим навіть за мірками групи Lazarus - елітного північнокорейського кіберпідрозділу, що стояв за нею більшу частину минулого десятиліття.
<Злом стався після того, як засновника Bybit обманом змусили взаємодіяти з сайтом, скомпрометованим Lazarus. Ця помилка надала хакерам доступ до деяких основних гаманців Ethereum Bybit. Вони викрали з біржі токени ефіру (ETH) на суму $1,4 млрд.
Північнокорейські відмивачі, добре натреновані роками великих криптовалютних крадіжок, негайно почали ділити свою рекордну здобич на кілька нових криптовалютних гаманців – перший крок у складному процесі конвертації брудної криптовалюти в чисту готівку.
<"КНДР використовує передові технічні можливості для відмивання криптовалюти", - пояснив Ендрю Фіерман, керівник відділу розвідки національної безпеки в Chainalysis. Після переміщення коштів "через велику кількість гаманців-посередників", відмивачі використовують "крос-ланцюгові мости для переміщення вкрадених коштів між різними активами, такими як Bitcoin, Ethereum, Tron, Solana та іншими".
THORChain виявився важливим на етапі перекидання мостів, слугуючи посередником для обміну токенами між блокчейнами – часто неодноразово, щоб збити слідство зі сліду.
<"До появи ThorChain не існувало способу перевести токени з Ethereum в біткоїн без ризику бути замороженим", - пояснив Монахан, дослідник безпеки в MetaMask.
Централізовані сервіси обміну – в тому числі криптовалютні біржі, такі як Coinbase і Binance – вимагають від користувачів реєстрації облікових записів і ризикують конфіскувати незаконні кошти. Тим часом більшості децентралізованих сервісів не вистачає ліквідності, щоб підтримувати транзакції в масштабах групи Lazarus.
Попередження
<За даними DeFiLlama, на наступний день після злому Bybit щоденний обсяг свопів THORChain перевищив $529 млн - це найбільший торговий день за всю історію. Обсяги продовжували зростати протягом наступних днів, генеруючи мільйони доларів комісійних для валідаторів, постачальників ліквідності та послуг гаманців THORChain.
27 лютого ФБР розповсюдило список пов’язаних з КНДР блокчейн-адрес і закликало “суб’єктів приватного сектору, включаючи операторів вузлів RPC, біржі, мости, фірми, що займаються аналітикою блокчейнів, сервіси DeFi та інших постачальників послуг віртуальних активів, блокувати транзакції з ними або похідні від них”.
На той момент багато інших криптоінструментів, які використовували північнокорейські відмивачі, вже почали блокувати діяльність, пов’язану з пограбуваннями.
<Найбільший оператор стейблкоінів Tether, якого зрештою пов'язали з пограбуванням, і Mantle, пов'язаний з Ethereum, заморозили роботу. Одна платформа - децентралізована біржа, якою керує компанія OKX - .
На мить здалося, що THORChain може наслідувати цей приклад. У відповідь на повідомлення ФБР група валідаторів THORChain скоординувала свої дії, щоб зупинити обмін Ethereum на протоколі – крок, який мав уповільнити відтік незаконних коштів. Але пауза тривала лише 30 хвилин, після чого була скасована під тиском спільноти.
<"Немає і не може бути ніяких доказів того, що будь-яка підписана і поширювана транзакція походить з певного географічного місця", - сказав Торбйорнсен в інтерв'ю CoinDesk, стверджуючи, що будь-які зв'язки між THORChain і Північною Кореєю є "передбачуваними", оскільки користувачі мережі не змушені реєструватися самостійно.
Зміна паузи виявилася переломним моментом для деяких членів спільноти THORChain. “З цього моменту я більше не буду вносити свій вклад в THORChain”, – написав провідний розробник протоколу, відомий як “Плутон”, у своєму листі в форматі .pdf.
Театр децентралізації?
Торбйорнсен та інші стверджують, що THORChain слід розглядати як децентралізований протокол, такий як Bitcoin або Ethereum, жоден з яких не блокував транзакції після пограбування Bybit.
Вони вказують на те, що його спільнота налічує понад 100 валідаторів – комп’ютерів, які перевіряють транзакції – як на доказ того, що система не контролюється одним суб’єктом.
Модель управління THORChain покладається на цих валідаторів, які роблять ставку на власний токен мережі RUNE, щоб брати участь в консенсусі і отримувати винагороду. Теоретично, основні рішення протоколу вимагають схвалення переважної більшості цих валідаторів, що створює розподілену структуру влади, стійку до централізованого контролю.
Критики, однак, стверджують, що мережа не настільки децентралізована, як заявляється. У січні один розробник під час кризи ліквідності – дія, яка повинна була б вимагати консенсусу валідаторів, якби система була більш децентралізованою.
Коли THORChain була залучена до попередніх операцій з відмивання коштів у Північній Кореї, “нам сказали, що вони нічого не можуть зробити з незаконними коштами”, – сказав Монахан. “Весь цей час у JP був єдиний приватний ключ, який контролював всю систему”.
Торбйорнсен визнає, що ланцюжок був призупинений власником адміністративного ключа в той момент, коли THORchain зіткнувся з “екзистенційною” загрозою.
Пауза була оголошена розробником під псевдонімом “Leena”. Торбйорнсен створив обліковий запис Leena на початку розвитку THORChain і спочатку використовував його, щоб приховати свою справжню особистість.
<Тепер він каже, що обліковий запис Leena більше не контролюється ним одноосібно, і хтось інший призупинив ланцюжок відповідно до прийнятних процедур безпеки. "Ключем скористався власник ключа - а реєстру власників ключів не існує", - сказав він.
На думку Торбйорнсена, дебати про те, хто контролював ключ адміністратора, не враховують головного.
<"У перші пару років існування біткоїна можна було легко довести, що біткоїн був повністю централізованим", - сказав він в інтерв'ю CoinDesk, вказуючи на те, що Сатоші оновив оригінальний блокчейн, щоб виправити серйозну помилку.
<"Децентралізація заслужена, і вона зароблена роками перебування на арені і доведення цього", - сказав Торбйорнсен. "Всі ці речі, такі як пауза і без паузи ... це все частина шляху децентралізації".
Бізнес як завжди
1 березня, в найбільший торговий день THORChain після пограбування Bybit, мережа зафіксувала понад 1 мільярд доларів свопів, що більше, ніж вона зазвичай обробляє за цілий місяць.
Ця активність стала благом для постачальників інфраструктури THORChain – сервісів гаманців і валідаторів, які отримують частку від кожної транзакції в мережі.
За даними фірми Chainalysis, що займається криміналістикою блокчейнів, оператори вузлів THORChain заробили щонайменше $12 млн у вигляді комісійних, пов’язаних з пограбуванням Bybit. Chainalysis назвала свою оцінку “консервативною”.
На думку юристів, саме через ці збори у операторів THORChain можуть виникнути проблеми. Колишній чиновник Міністерства фінансів США попередив в інтерв’ю CoinDesk, що “багато чого з цього просто зводиться до питання, хто заробляє гроші: Чи є це концентрованою групою людей, і чи відносно відомо, що [кошти] надходять від поганих суб’єктів?”
Такі гаманці, як Vultisig і Asgardex, заслужили особливу увагу з боку експертів з права і безпеки, оскільки “зовнішні” додатки, що використовуються для взаємодії з блокчейном, як правило, вважаються більш централізованими, ніж самі блокчейни.
<За словами Монахана, Asgardex, один з найпопулярніших гаманців THORChain, заробив $1 млн на транзакціях, прив'язаних до Bybit. "Причина, чому ви використовуєте Asgardex" на відміну від інших гаманців THORChain "полягає в тому, що ви не хочете відстеження - ви не хочете фільтрації або чогось подібного", - сказав Торбйорнсен, який допомагав розробляти програму.
Торбйорнсен каже, що він більше не має операційної чи фінансової частки в Asgardex, яка має відкритий вихідний код і технічно може бути перепрограмована користувачами для роботи без оплати. Однак останнім часом він активно просуває VultiSig, свій новий захищений від злому гаманець THORChain.
<20 березня Торбйорнсен похвалився, що додатком користується більше людей, ніж будь-коли: "Свопи Vultisig вже принесли $200 тис. доходу!" ЗакXBT, крипто-детектив, відомий розслідуванням кібероперацій Північної Кореї, відповів, що "значна частина цього доходу була отримана завдяки злому Bybit".
“Vultisig – це не мережа, – сказав ЗакXBT. “Вони надають користувачам централізований інтерфейс для взаємодії з протоколами за певну плату”.
16 квітня Vultisig запускає свій офіційний криптотокен: VULT. Токен буде розповсюджуватися безкоштовно серед найбільш лояльних користувачів гаманця.
Сем – заступник головного редактора CoinDesk з питань технологій і протоколів. Він спеціалізується на децентралізованих технологіях, інфраструктурі та управлінні. Сем отримав ступінь з комп’ютерних наук в Гарвардському університеті, де він очолював Harvard Political Review. Він має досвід роботи в технологічній індустрії та володіє деякими активами ETH та BTC. Сем був частиною команди, яка виграла премію Джеральда Лоеба 2023 року за висвітлення в CoinDesk історії Сема Бенкмана-Фріда і краху FTX.