Исследование Chainalysis об использовании криптовалют в незаконной деятельности. Продолжение.
Криминальные балансы
Криминальные «киты» владеют криптовалютами на сумму более $25 млрд, полученными из множества незаконных источников
Одной из заметных тенденций прошлого года стала растущая способность правоохранительных органов изымать криптовалюты у преступников. В 2021 году было несколько ярких примеров этого:
В феврале 2022 Минюст США конфисковал биткойны, связанные со взломом Bitfinex в 2016 году, на сумму 3,6 миллиарда долларов, что на сегодня является крупнейшим в истории возвратом украденных активов — в криптовалютах ли или фиатных деньгах.
Эти истории важны не только потому, что позволяют жертвам связанных с криптовалютами преступлений получить финансовую компенсацию, но и потому, что опровергают утверждение о том, что криптовалюты являются неотслеживаемым и неизымаемым активом, идеально подходящим для разного рода преступников. Если киберпреступники знают, что правоохранительные органы могут конфисковать их криптовалюты, это может снизить их стимул совершать незаконные действия и/или использовать для них криптовалюты.
Кроме того, подобные кейсы поднимают важный вопрос: сколько криптовалют на текущий момент удерживается подтвержденно криминальными субъектами в блокчейнах и, следовательно, теоретически может быть изъято правоохранительными органами? Ответ, конечно, должен учитывать не только криминальные доходы, полученные в 2021 году, но и все криминальные доходы, всё ещё удерживаемые видимыми адресами. Ниже мы разберем как общую сумму криптовалютных сбережений, которые можно отследить до криминальных источников, так и совокупный баланс криминальных китов, то есть преступников, владеющих криптовалютами на $1 млн и более.
Украденные средства доминируют в совокупном балансе криминальных адресов
Начнем с того, что рассмотрим криминальные балансы по состоянию на конец каждого из пяти последних лет с разбивкой по видам незаконной деятельности, от которой были получены средства. В этом анализе под криминальными балансами подразумеваются любые средства, удерживаемые на конец 2021 года адресами, которые Chainalysis связывает с незаконной деятельностью. Эти адреса могут принадлежать криминальным сервисам, таким как даркнет-маркеты, но в некоторых случаях могут управляться и частными кошельками, как, например, в случаях с украденными средствами.
Две вещи обращают на себя внимание. Первая — это огромный рост криминальных балансов в 2021 году: на конец года преступники удерживали $11 млрд в криптовалютах из известных криминальных источников, по сравнению со всего $3 млрд на конец 2020 года. Вторая — это то, насколько доминируют в этом общем объеме украденные средства. По состоянию на конец 2021 года украденные средства составляли 93% от общего объема криминальных балансов в размере $9,8 млрд. За ними с огромным отрывом следуют деньги даркнет-маркетов ($448 млн), затем мошенничества ($192 млн), мошеннические магазины ($66 млн) и вирусы-вымогатели ($30 млн).
Суммарный объем криминальных балансов в течение года менялся: от минимума в $6,6 млрд в июле до пика в $14,8 млрд в октябре. Эти колебания дополнительно подчеркивают важность скорости в расследовании движения криптовалют, связанных с незаконной деятельностью, поскольку успешно отслеженные в блокчейне криминальные средства могут быть быстро ликвидированы. Конечно, криминальные балансы могут сокращаться и по понятным объективным причинам. Существенное снижение в феврале 2022 связано с изъятием Минюстом США $3,6 млрд в биткойнах, украденных при взломе Bitfinex в 2016 году. После этого изъятия криминальные балансы на 9 февраля 2022 составили около $5 млрд.
Давайте посмотрим, какие типы киберпреступников имеют тенденцию дольше удерживать свои криптовалюты.
Глядя на тенденции за всё время, поставщики и администраторы даркнет-маркетов, как правило, хранят свои криптовалюты дольше всего, а самое короткое время удержания цифровых монет свойственно кошелькам с украденными средствами. Последнее может показаться удивительным: как украденные средства могли храниться на кошельках так мало времени и при этом составить подавляющую часть криминальных балансов? Оказывается, что большая часть этих доминирующих накоплений принадлежит очень крупным кошелькам, которые хранят криптовалюты дольше, чем это свойственно другим кошелькам в категории украденных средств. Но что действительно бросается в глаза, это то, насколько сократилось время удержания криптоактивов по всем направлениям незаконной деятельности: на 75% короче в 2021 году по сравнению с цифрами за всё время во всех категориях. Ярким примером этой тенденции могут служить, в частности, операторы вирусов-вымогателей, со всего 65 днями удержания криптовалютных активов перед продажей. Это может быть ответом на растущее давление правоохранительных органов, с которым сталкиваются злоумышленники.
Криминальные киты проявляют больше вариативности
Вопрос, естественным образом вытекающий из нашего исследования криминальных балансов: какого рода преступники удерживают наибольшие объемы криптовалют? Мы решили исследовать это, проанализировав балансы криминальных китов. Но обратите, пожалуйста, внимание на то, что балансы криминальных китов мы рассчитываем несколько иначе, чем общие криминальные балансы, обсуждавшиеся выше. Мы определяем криминального кита как любой частный кошелек, удерживающий криптовалюты на сумму $1 млн или более и получивший более 10% средств с криминальных адресов.
Пожалуйста, примите во внимание, что, в отличие от общих криминальных балансов, рассчитываемых как сумма балансов всех адресов (включая сервисы), помеченных как криминальные, балансы криминальных китов в данном случае рассчитываются на основе балансов исключительно частных адресов. Поэтому обсуждаемые здесь балансы криминальных китов не будут совпадать с общими криминальными балансами, рассчитанными выше.
В общей сложности Chainalysis идентифицировал 4068 криминальных китов, владеющих криптовалютами на сумму более $25 млрд. Криминальные киты составляют 3,7% всех криптовалютных китов, то есть частных кошельков, удерживающих криптовалюты на сумму $1 млн и более.
Интересная закономерность возникает при разделении криминальных китов на когорты по признаку доли в их балансе средств криминального происхождения: большинство криминальных китов получили с криминальных адресов либо относительно небольшую, либо чрезвычайно большую долю от своих балансов.
На диаграмме выше криминальные киты поделены на когорты по доле в их входящем криптовалютном трансфере средств с криминальных адресов. Когорта с наименьшей долей является самой многочисленной: 1374 криминальных кита получили с криминальных адресов от 10 до 25% своего общего баланса. Однако группа с наибольшей долей отстает разве что в пределах погрешности: 1361 криминальных китов получили с криминальных адресов от 90 до 100% своего баланса. И в общей сложности 1333 криминальных китов получили с криминальных адресов от 25 до 90% входящего криптовалютного трансфера.
и криминальных средств для криминальных китов также отличаются бóльшим разнообразием в сравнении со средствами, составляющими общий криминальный баланс.
И если в общих криминальных балансах доминируют украденные средства, то для криминальных китов крупнейшими источниками незаконных средств являются даркнет-маркеты. На второй строке в этом списке находится мошенничество и украденные средства на третьей.
Наконец, на основе данных о часовых поясах можно попытаться приблизительно предположить местоположение криминальных китов. На диаграмме ниже мы присвоили часовые пояса (UTC) 768 криминальным китам, чьи кошельки были достаточно активны для точной оценки этого параметра.
К часовым поясам 2, 3 и 4, по-видимому, относится большая часть криминальных китов. Помимо них, можно выделить также пояса 1 и -9. Часовые пояса 2, 3 и 4 охватывают большую часть России, включая Москву и Санкт-Петербург, что особенно интересно, учитывая огромную роль России в связанной с криптовалютами преступности, неоднократно отмечаемую в постах этой серии. Но, конечно, часовые пояса, позволяют оценить местоположение только по долготе, и возможно, что часть этих криминальных китов может находиться в других странах в пределах тех же поясов, включая ЮАР, Саудовскую Аравию или Иран.
Возможность эффективно отслеживать криминальных китов и оценивать их активы, опираясь на один общедоступный набор данных, — важнейшее различие между преступностью с использованием криптовалют и фиатных денег. В фиатных валютах наиболее состоятельные преступники используют для сокрытия своих активов запутанные сети из иностранных банков и подставных компаний. В криптовалютах же транзакции сохраняются в блокчейне, и в случае с публичными блокчейнами анализировать эти данные может любой интересующийся. Расследование ончейн-активности криминальных китов открывает возможности для государственных органов всего мира продолжить серию успешных разоблачений и привлечь к ответственности крупнейших бенефициаров незаконной деятельности, связанной с криптовалютами.
Украденные средства
За 2021 год украдено криптовалют более чем на $3 млрд, а объем краж в DeFi протоколах вырос на 1330%
2021 стал большим годом для воров цифровых активов. За год у частных лиц и различных сервисов было украдено криптовалют на $3,2 млрд, почти в 6 раз больше, чем в 2020.
И это только часть истории: около $2,3 млрд из этих средств было украдено из DeFi-платформ; общий объем хищений из этих протоколов вырос на 1330%.
Каждый год до 2021 большая со значительным отрывом часть похищенных криптовалют приходилась на централизованные биржи. Но в прошедшем году кражи с DeFi-платформ превзошли их по этому показателю в шесть раз.
Самой заметной тенденцией в хищениях криптовалют в 2021 году стало использование уязвимостей в программном коде проектов
Исторически кражи криптовалют в значительной мере происходили в результате брешей в безопасности, посредством которых хакеры получали доступ к закрытым ключам жертв, — криптоэквивалент карманной кражи. Эти ключи могли получаться с помощью фишинга, кейлоггеров, социальной инженерии и другими методами. С 2019 по 2021 почти 30% от общего объема было украдено именно таким образом.
Но с ростом DeFi и обширных возможностей смарт-контрактов, на которых строится работа этих платформ, в программном коде сервисов стали выявляться более глубокие уязвимости. В 2021 году на эксплойты в коде и флеш-кредиты (flash loan, вид эксплойта, включающий манипуляцию ценами) приходилась почти половина средств, похищенных во всех сервисах: 49,8%. А если брать только взломы DeFi-платформ, то эта цифра увеличивается до 69,3%.
Эти эксплойты происходят по целому ряду причин. Во-первых, в соответствии с приверженностью DeFi децентрализации и прозрачности, основным продуктом DeFi-приложений является разработка ПО с открытым кодом. Это важная и в целом позитивная тенденция: поскольку DeFi-протоколы перемещают средства без вмешательства человека, пользователи должны иметь возможность проверять исходный код, чтобы доверять платформе. Но это также облегчает киберпреступникам поиск уязвимостей в скриптах и позволяет планировать эксплойты заранее.
Еще одной потенциальной точкой отказа является зависимость DeFi-платформ от ценовых оракулов. Задача ценовых оракулов состоит в том, чтобы поддерживать точные данные о ценах на все криптоактивы на платформе. Это непростая задача. Безопасные, но медленные оракулы уязвимы для арбитража; быстрые, но небезопасные оракулы уязвимы для манипулирования ценами. Последний тип часто открывает возможности для атак флеш-кредитами, в результате которых за 2021 год с DeFi-платформ было похищено $364 млн. Например, при взломе Cream Finance серия флеш-кредитов, использующих уязвимость в способе расчета переменной pricePerShare
для yUSD, позволила злоумышленникам поднять цену yUSD вдвое, продать свои акции и выйти со $130 миллионами всего за одну ночь.
Эти две опасности — неточные оракулы и эксплойты в коде смарт-контрактов — подчеркивают необходимость обеспечения безопасности обоих. К счастью, решения существуют. Защитой от манипулирования ценами могут служить децентрализованные ценовые оракулы, такие как Chainlink. Что касается безопасности смарт-контрактов, то аудит кода может защитить программы от распространенных видов взлома (PDF, англ.), таких как повторный вход, необработанные исключения и зависимость от порядка транзакций.
Но аудит кода тоже не гарантирует отсутствие ошибок. Около 30% эксплойтов использовались на платформах, проходивших аудит кода не больше года назад, равно как и поразительные 73% атак флеш-кредитами. Это подчеркивает два потенциальных недостатка аудита кода:
- он может помочь устранить уязвимости смарт-контрактов в части случаев, но не во всех;
- он редко гарантирует, что ценовые оракулы платформ защищены от несанкционированного доступа.
Так что, хотя аудит кода, безусловно, полезен, DeFi-протоколы с миллионами пользователей и миллиардами долларов в системе должны применять более надежные подходы к безопасности платформ.
Платформы кредитования, инфраструктура для Web3, DEX и DAO особенно уязвимы
В 2020 и 2021 гг. платформы кредитования, такие как фарминг-протоколы, понесли наибольшие убытки: в 64 инцидентах было украдено в общей сложности $923 млн. На втором месте с небольшим отставанием находятся инфраструктурные сервисы, такие как кроссчейн-протоколы и оракулы как сервис. DEX и DAO тоже столкнулись со значительными кражами.
Следуя за деньгами: конечные пункты назначения украденных криптовалют
На DeFi-платформы и высокорисковые сервисы за прошлый год поступило больше украденных криптовалют, чем когда бы то ни было: 51% и 25% соответственно. На централизованные биржи, когда-то бывшие главным местом назначения для украденных криптовалют, в 2021 году поступило менее 15% от общего объема хищений. Вероятно, это связано с внедрением на всех крупных биржах процедур AML и KYC, непосредственно угрожающих анонимности киберпреступников.
Крупнейшие криптовалютные кражи 2021 года
Как и в большинстве предыдущих лет, на десять крупнейших взломов 2021 года пришлась большая часть ($1,81 млрд) украденных средств. Семь из этих десяти атак были нацелены на DeFi-платформы. В таблице ниже приведены краткие сведения о каждой из этих краж.
Жертва | Украдено (в USD) | Тип сервиса | Тип взлома | Описание |
Poly Network | $613 млн | DeFi-платформа | Эксплойт в коде | Злоумышленник использовал кроссчейн релейные контракты для вывода средств Poly Network через три разных блокчейна: Ethereum, BSC и Polygon. В конечном счете злоумышленник вернул украденные средства. |
BitMart | $200 млн | Биржа | Бреши в безопасности | Злоумышленники украли закрытый ключ, который скомпрометировал два горячих кошелька BitMart. |
BadgerDAO | $150 млн | DeFi-платформа | Бреши в безопасности | Злоумышленники использовали скомпрометированный API-ключ Cloudflare для периодического внедрения вредоносных скриптов в приложение Badger. Скрипты перехватывали транзакции и предлагали пользователям дать разрешение внешнему адресу управлять ERC-20 токенами в их кошельке. Получив согласие, злоумышленники выводили средства из пользовательских кошельков. |
Не названо | $145 млн | Частный | Другое: растрата | По неподтвержденным данным, сотрудник перенаправил средства на личный счет при попытке компании сделать перевод между финансовыми аккаунтами. |
Venus | $145 млн | DeFi-платформа | Эксплойт в коде | Злоумышленники манипулировали ценой XVS, токена управления Venus Protocol, для заимствования количеств BTC и ETH, превышающих фактическую стоимость XVS. Когда цена токена снизилась, а залоговое обеспечение пользователей, допустивших дефолт по своим долгам, было ликвидировано, на Venus остался долг в $145 млн. |
BXH | $139 млн | DeFi-платформа | Другое: утечка закрытых ключей | По неподтвержденным данным, неопределенный участник технической команды BXH допустил утечку закрытого ключа администратора. |
Cream Finance | $130 млн | DeFi-платформа | Флеш-кредиты | Сначала злоумышленники инициировали серию флеш-кредитов для минтинга -$1,5 млн crYUSD. Затем использовали функцию PriceOracleProxy для искусственного завышения стоимости своих crYUSD до -$3 млрд. $2 млрд из них злоумышленники вывели для выплат по непогашенным флеш-кредитам, а оставшийся $1 млрд использовали для выкачивания всех доступных для займов активов в Cream ($130 млн). |
Vulcan Forged | $103 млн | DeFi-платформа | Бреши в безопасности | Злоумышленник получил доступ к закрытым ключам 96 адресов и отправил их содержимое на контролируемые хакерами кошельки. |
Не названо | $91 млн | DeFi-платформа | Эксплойты в коде | Злоумышленник использовал сеть доставки контента (CDN) платформы для ответа на запросы вредоносным кодом, посредством которого крал активы пользователей. |
Не названо | $91 млн | Биржа | Бреши в безопасности | Злоумышленник получил доступ к закрытым ключам горячих (подключенных к интернету) кошельков сервиса. |
Криптовалютные кражи 2021 года — поучительная история для разработчиков DeFi
Общая стоимость «блокированных» активов (TVL) в DeFi-протоколах обновляет максимумы, и вместе с тем возрастают риски эксплойтов в программном коде проектов. Если и есть какой-то один вывод из стремительного роста краж из DeFi-платформ, так это необходимость в безопасных смарт-контрактах и точных ценовых оракулах. Регулярные аудиты кода, децентрализованные провайдеры оракулов и в целом более строгий подход к безопасности платформ могли бы стать идеальными средствами для достижения этой цели.
К счастью, даже когда эти функции не срабатывают и происходит хищение криптовалют, блокчейн-анализ может помочь митигировать последствия. Следователи, обладая полной картиной перемещения средств с адреса на адрес, имеют инструменты для остановки движения украденных активов, чтобы остановить злоумышленников до того, как они обналичат деньги.
Навигация по постам серии
БитНовости отказываются от ответственности за любые инвестиционные рекомендации, которые могут содержаться в данной статье. Все высказанные суждения выражают исключительно личное мнения автора и респондентов. Любые действия, связанные с инвестициями и торговлей на крипторынках, сопряжены с риском потери инвестируемых средств. На основании предоставленных данных, вы принимаете инвестиционные решения взвешенно, ответственно и на свой страх и риск.
На основе источника