Что такое Peel Chain?
Эксперты компании по безопасности блокчейнов из Slowmist рассказали, что такое Peel Chain. Для этого они вспомнили об инциденте биржей с Bitfinex. В отчете аналитиков упоминалось, как украденные с платформы средства отмывались с использованием данного метода, называемого пилинг-цепью. Эксперты получили много вопросов об этом способе и поэтому решили написать образовательную статью, чтобы проинформировать читателей.
Что такое пилинг-цепь
Peel Chain — это метод отмывания крупных сумм криптовалюты посредством серии многочисленных транзакций. Украденные средства, как правило, распределяются злоумышленниками по двум отдельным адресам, каждый раз отнимая по небольшой сумме при последующем переводе. Этот процесс повторяется снова и снова, пока не достигнет конечного пункта назначения.
Система MistTrack для борьбы с отмыванием денег (AML) позволила проанализировать, как метод цепочки очистки (еще одно название данного способа) использовался для отмывания виртуальных активов в результате инцидента с Bitfinex.
Немного справочной информации: 3 августа 2016 года Bitfinex пострадала от взлома, в результате чего было похищено 119775 биткоинов (BTC). На момент инцидента эта сумма равнялась $60 млн, но по состоянию на сегодняшний день сумма украденных средств равняется $1,96 млрд. Украденные цифровые активы были выведены на 2072 различных адреса.
Криптовалюты были нетронутыми до января 2017 года. Затем хакеры начали медленно переводить биткоины из своего кошелька с использованием метода Peel Chain. По данным MistTrack, изначально было выведено лишь около 30 BTC. Затем виртуальные деньги были отправлены на два других адреса, прежде чем попасть на третий адрес, чтобы начать процесс очистки.
Процесс пилинга
Именно этот третий адрес (3CA…AcW) и стал началом метода пилинга. С него были отправлены BTC на следующие 2 кошелька. Затем с первого кошелька, они были разбиты еще на 2 адреса и со второго также. На один поступала большая сумма биткоинов, а на другой совсем небольшая. После этого каждый адрес, получивший значительное количество Bitcoin на свой баланс разветвлялся еще на два новых, повторяя процесс очистки до тех пор, пока не достигал назначенного адреса.
Идентификация кошельков
Хакер был очень щепетилен в процессе пилинга. Большая часть этих средств была переведена по несколько раз, прежде чем поступить на финальный адрес.
Каждый кошелек раз за разом создавал два дополнительных кошелька, которые медленно сбрасывали небольшую часть BTC с каждым последующим переводом. Средства с первоначального аккаунта в конечном итоге оказались в холодных хранилищах — кошельках Wasabi (кошелек конфиденциальности биткоинов) или на рынке Hydra (российский рынок даркнета).
Для более крупных транзакций использовался адрес: 1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE. По данным блокчейн-эксплорера, в результате инцидента на этот кошелек было переведено 271,22 BTC. Далее они также были распределены, согласно методу Peel Chain.
Каждый кошелек разветвлялся на два дополнительных по уже известной схеме. Некоторые транзакции были забыты и проигнорированы хакером, так как из-за такой системы было создано слишком большое количество мелких транзакций.
Этот процесс продолжался до тех пор, пока сумма на каждом из последующих кошельков не снизилась примерно до 1 BTC, которые в итоге были депонированы на Hydra Market. Но прежде первоначальный адрес был разветвлен на тысячи транзакций и сторонних кошельков.
Метод пилинг-цепочки обычно содержит следующие характеристики:
- Все начинается с одного адреса с украденными средствами;
- Каждый новый кошелек делится на два новых адреса, один с большой суммой, второй с маленькой;
- Окончательная сумма в итоге депонируется в холодное хранилище, на биржу или рынки даркнета.
Резюме
Наиболее сложные и длительные методы Peel Chains исполняются специализированными программами для автоматизации данного процесса. Сервис MistTrack представляет собой систему отслеживания таких действий. Он содержит базу из более чем 100 тыс вредоносных адресов в различных блокчейн-сетях.