Chainalysis удалось распутать транзакции Wasabi Wallet в процессе поиска хакера

Сооснователь криптостартапа TenX Тоби Хениш стоит за взломом проекта The DAO, из которого в 2016 году было похищено $60 млн. К такому выводу пришла журналистка Лаура Шин в ходе собственного расследования при участии аналитической фирмы Chainalysis.

The DAO стал одной из первых попыток сбора финансирования на блокчейне Ethereum. Децентрализованная организация была создана компанией Slock.it, которая с ее помощью рассчитывала привлечь $5 млн. Однако уже 30 апреля, спустя 2 дня с момента начала сборов, сумма достигла $9 млн. Через месяц к моменту окончания кампании в ней успели принять участие 15 000 – 20 000 человек, а в контракте The DAO находилось 15% всех выпущенных ETH, стоимость которых продолжала расти.

17 июня 2016 года ETH достиг нового абсолютного максимума на отметке $21,52, благодаря чему объем активов в The DAO приблизился к $250 млн. В этот день неизвестный хакер вывел часть криптовалюты из хранилища The DAO, а курс ETH обвалился до $14. Чтобы предотвратить расходование похищенных ETH, было принято решение провести хард форк, в результате которого 20 июля блокчейн разделился на два: Ethereum и Ethereum Classic.

Хакер сохранил украденные монеты в блокчейне Ethereum Classic и в октябре приступил к их обмену на биткоин при помощи биржи ShapeShift, на тот момент не требовавшей верификации. За два месяца он накопил 282 биткоина ($232 000 по актуальному тогда курсу), но столкнулся с частой блокировкой своих переводов и бросил попытки с 3,4 млн ETC ($3,2 млн) в кошельке.

Взлом The DAO оставался обсуждаемой темой в криптовалютном сообществе все эти годы, но попытки установить личность хакера ни к чему не приводили. Так продолжалось до июля 2021 года, когда бразильская полиция связалась с жителем страны Алексом Ван де Санде в связи с расследованием дела The DAO. Правоохранители хотели установить, был ли он жертвой или, возможно, самим хакером. Желая снять с себя подозрения, Ван де Санде заказал отчет у аналитической компании Coinfirm. Хотя к тому моменту расследование уже было закрыто, он изучил сведения о попытках вывода криптовалюты в 2016 году.

В числе первых подозреваемых оказались бизнесмен из Швейцарии и разработчик Ethereum Classic из России. Однако транзакции проводились в азиатские рабочие часы, когда европейцы обычно спят, в то время как активность подозреваемых в соцсетях указывала на то, что они придерживались нормального распорядка дня.

Более веские зацепки предоставила компания Chainalysis. Ее сотрудники отследили перевод 50 BTC, совершенный предполагаемым хакером через кошелек-миксер Wasabi Wallet с целью анонимизации.

«Используя возможности, о которых здесь рассказывается впервые, Chainalysis распутали транзакции Wasabi и отследили их выходы до четырех бирж, – пишет Шин. – На последнем, ключевом шаге сотрудник одной из бирж подтвердил моему источнику, что средства были обменены на приватную монету Grin и выведены в ноду с именем grin.toby.ai».

По IP-адресу ноды Grin также оказались размещены ноды Lightning Network биткоина: ln.toby.ai, lnd.ln.toby.ai и TenX. Последнее название знакомо всем, кто следит за криптовалютным рынком с середины 2017 года. Тогда в июне на фоне ажиотажа вокруг ICO TenX привлекли $80 млн для запуска своей криптокредитной карты.

Генеральный директор и сооснователь проекта Тоби Хениш использовал ник @tobyai на различных платформах, включая AngelList, GitHub, LinkedIn, Medium, Pinterest, Reddit, StackOverflow и Twitter. Он проживал в Сингапуре; транзакции по выводу похищенной криптовалюты проходили преимущественно с 8 утра до 11 вечера по сингапурскому времени. Упомянутые ноды располагались на сервере Amazon Singapore, а аккаунт на бирже был зарегистрирован на электронную почту вида [название_биржи]@toby.ai.

В мае 2016 года по мере приближения конца сбора финансирования Хениш проявлял значительный интерес к The DAO. 12 мая он написал своему партнеру и позднее соучредителю TenX Джулиану Хоспу о «прибыльной» сделке, порекомендовав занять короткую позицию на ETH с окончанием сборов. 17-18 мая он детально рассказывал об уязвимостях The DAO в канале проекта в мессенджере Slack.

Также он связался с разработчиками из Slock.it, сообщив им, что хотел бы использовать финансирование The DAO для разработки платежной карты DAO.PAY, однако некоторые элементы кода вызывали его беспокойство. Он описал три вектора атаки, большинство из которых разработчики Slock.it отбраковали как нерабочие. Затем он опубликовал четыре статьи на Medium с информацией об уязвимостях The DAO, в последней из которых заявил, что DAO.PAY отказались от подачи заявки на получение финансирования ввиду «крупных проблем с безопасностью».

Месяц спустя случилась атака. На следующее утро Хениш затроллил Виталика Бутерина, сделав ретвиты его сообщений, опубликованных до атаки, но после того, как стало известно об уязвимостях. Так, за две недели до этого Бутерин писал, что покупает токены The DAO на фоне предостережений.

Узнав, что Хениш может быть взломщиком The DAO, Хосп заявил, что у него «пошли мурашки по коже», а некоторые события прошлого представились в новом свете. Отвечая на вопрос о том, интересовался ли Хениш криптовалютой Grin, Хосп воскликнул:

«Да! Да, интересовался! Он восхищался ею. Я потерял деньги из-за этой идиотской монеты. Я вложился из-за него».

Хосп также сообщил, что Хениш был поглощен идеей разработки атомарных свопов для вывода биткоина в анонимную криптовалюту Monero. Тогда поведение Хениша казалось ему странным из-за явного отсутствия спроса на подобные инструменты. Кроме того, он поднял переписку за август 2016 года, в которой Хениш возлагает надежды на рост ETC – монеты, оставшейся у хакера после форка Ethereum. Хосп также подтвердил, что Хениш активно пользовался электронной почтой @toby.ai.

«По какой-то необъяснимой причине он хорошо знал о произошедшем. Он понимал взлом The DAO лучше, чем все источники, которые я мог найти в интернете», — вспоминает Хосп.

Сам Хениш назвал результаты расследования «фактически неверными» и отказался от дальнейших комментариев.

Источник: cryptocurrency.tech

Оставьте первый комментарий

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*