Блокчейн-аналитики говорят, что северокорейские хакеры нашли способ обойти введенные США санкции и по-прежнему отмывают украденную криптовалюту. В частности, по данным Chainalysis, преступники отмыли криптовалюту на сумму почти 25 млн долларов с помощью нового миксер-сервиса Sinbad.
В прошлом году американские власти ввели санкции против таких миксер-сервисов как Blender и Tornado Cash, которые северокорейские хакеры Lazarus использовали для отмывания около 500 млн долларов незаконно полученной криптовалюты.
Отмечу, что хотя Lazarus обычно упоминается в отчетах экспертов как некая единая группа, на самом деле этим термином обозначают множество групп северокорейских хакеров, которым правительство поручает собирать разведданные или воровать деньги для поддержки национальных проектов.
По данным властей, через упомянутый Tornado Cash прошли средства, похищенные хакерами в результате взлома Harmony (порядка 96 млн долларов), средства полученные в результате компрометации блокчейна Ronin, тесно связанного с популярной NFT-игрой Axie Infinity (было украдено более 600 млн долларов, через миксер отмыли 455 млн), а также около 7,8 млн долларов, полученные во время компрометации криптовалютного моста Nomad.
Хотя эти санкции не остановили работу Tornado Cash (многим в криптовалютной индустрии вообще не понравились действия властей), операторы Blender вскоре исчезли вместе со своим сервисом, по слухам, прихватив с собой 22 млн долларов в биткоинах.
Как теперь пишут аналитики компании Elliptic, судя по всему, осенью 2022 года операторы Blender запустили новый сервис под названием Sinbad, который северокорейские хакеры опять используют для отмывания ворованных активов.
Подозрения относительно связи Lazarus и Sinbad возникли у исследователей после взлома кроссчейн-моста Harmony Horizon. Это ограбление, произошедшее летом прошлого года, привело к краже криптовалютных активов на сумму 100 млн долларов. И этот раз хакеры использовали для «очистки» похищенных средств биткоин-миксер Sinbad.
«На сегодняшний день десятки миллионов долларов Horizon и от других атак, связанных с Северной Кореей, были проведены через Sinbad, и средства продолжают поступать, демонстрируя уверенность злоумышленников и доверие к новому миксеру», — пишут эксперты Elliptic.
В отличие от Tornado Cash, Blender и Sinbad являются кастодиальными миксерами, то есть вся криптовалюта, поступающая в сервис, находится под контролем операторов.
При этом анализ Elliptic показывает, что Sinbad с высокой степенью вероятности управляется тем же людьми, которые стояли за Blender. Так, исследователи обнаружили, что на «служебный» адрес Sinbad поступали биткоины из кошелька, который, как считается, принадлежит операторам Blender.
Кроме того, тот же кошелек использовался и для оплаты рекламы нового миксера и финансирования почти всех первоначальных транзакций, прошедших через Sinbad (около 22 миллионов долларов).
Помимо этого исследователи заметили схожее поведение в сети для обоих миксеров:
«Способ работы миксера Sinbad во многом идентичен Blender, включая десятизначные коды миксера, гарантийные письма, подписанные сервисным адресом, и максимальную задержку транзакции на семь дней».
Интересно, что в интервью изданию Wired администратор Sinbad назвал сервис «легитимным технологическим проектом, помогающим сохранить конфиденциальность».
«Я против тотальной слежки, контроля над пользователями интернета, против автократий и диктатур, — заявил человек, попросивший называть его Mehdi. — Каждый человек имеет право на частную жизнь».