Lėto kraujavimo strategija
Manau, kad tai, ką mes čia matome, yra gana apgalvotas požiūris į pinigų plovimą. „Radiant“ išnaudotojas dalykų neskuba – neskuba, išbando vandenis ir perkelia lėšas kruopščiai pamatuotais kiekiais. 2025 m. spalio 31 d. jie pervedė apie 5 411,8 ETH į „Tornado Cash“, kurio vertė tuo metu buvo maždaug 20,7 mln.
Vos prieš devynias dienas ta pati grupė perkėlė maždaug 2834,6 ETH, o tai atitinka 10,8 mln. Įdomu tai, kaip jie suskirstė šias lėšas įvairiose grandinėse ir per įvairius apsikeitimo sandorius, kol galiausiai pateko į maišytuvą. Nė vienas sandoris neatrodė skubotas ar panikuotas. Jie atrodė kaip kažkas, kas tiksliai žino, ką daro, tikrina likvidumą ir laiko laikymosi langus.
Kaip atsiskleidė originalus įsilaužimas
Visa istorija siekia 2024 m. spalio 16 d., kai „Radiant“ paskolų fondai „Arbitrum“ ir „BNB Chain“ buvo išeikvoti nuo 50 iki 58 mln. USD. Visi techniniai pomirtiniai tyrimai nurodė tą pačią pagrindinę problemą – operatyvinį kompromisą, apimantį raktų turėtojus ir patvirtinimus.
Kiek suprantu, projekte jautriems veiksmams buvo naudojama trijų iš vienuolikos kelių parašų schema. Ši plati pasirašiusiųjų sąranka galėjo pagerinti pasiekiamumą, bet taip pat sukūrė daugiau įrenginių kompromiso ir socialinės inžinerijos tikslų. Apsaugos įmonės, tokios kaip Halborn, atkūrė, kaip užpuolikas pasinaudojo patvirtinimo procesų ir įrenginio saugumo trūkumais.
Vėlesnėse ataskaitose teigiama, kad valstybės remiama grupė naudojo apsimetinėjimo taktiką, kad gautų prieigą, o tai, atrodo, patvirtino Radiant, kai viskas susitvarkė. Stebina tai, kad šis vienintelis pažeidimas sudarė beveik pusę visų 2024 m. spalio mėn. išnaudojimo nuostolių, sudarančių apie 116 mln. Tai parodo, kaip vienas kryžminis incidentas iš tikrųjų gali iškreipti mėnesio rizikos vaizdą.
Atsiranda plovimo modelis
Per kitus metus susiformavo aiškus modelis. Lėšos iš 2 sluoksnio tinklų buvo perkeltos atgal į Ethereum per tiltus, kur likvidumas yra didžiausias. Eksploatuotojas pakeistų įvairius turtus į ETH, kad pasiruoštų maišymo procesui.
2025 m. spalio 22–23 d. pervedimai yra geras pavyzdys. „CertiK“ stebėjo 2 834,6 ETH, patenkančius į „Tornado Cash“, 2 213,8 ETH – iš Arbitrum tilto, o likusią dalį – iš DAI konversijų. Spalio 31 d. partija pridėjo dar 5 411,8 ETH, naudodama panašius modulinius indėlius, atitinkančius Tornado baseino normas.
Visas šis metodas atrodo kaip lėta nutekėjimo strategija, o ne bandymas išgryninti viską iš karto. „Arbitrum“ arba „BNB Chain“ sujungimai atneša likučius į giliausius „Ethereum“ likvidumo fondus. DEX pasukimai konvertuoja viską į ETH, kad būtų efektyviausi Tornado įrašai.
Ką tai reiškia saugumui
Lėšas skirstant į standartinius nominalus yra brangu ir sunku viską atsekti. Atitikties komandos vis dar turi tam tikrų įrankių – jos gali sugrupuoti adresus pagal degalų srautus ir laiką, suderinti indėlius su išėmimo langais ir stebėti, ar nėra tų signalinių nulupimo grandinių, kurios prasideda mažos ir plačiai išplinta.
Teisinė aplinka sukūrė pilkąją zoną. Teismai susiaurino kai kurias platesnes vyriausybės teorijas, susijusias su sankcijų skyrimu decentralizuotai programinei įrangai, o prokurorų rezultatai su maišytuvais susijusiose bylose buvo skirtingi. Rezultatas yra tai, kad privatumo įrankiai ir toliau veikia, o mainai labiau priklauso nuo elgesio valdomų valdiklių nei visuotinių draudimų.
Kūrėjams ir vartotojams pamoka atrodo gana konkreti. Dizaino pasirinkimas turi realių piniginių pasekmių. Tiltai ir maršrutizatoriai sutelkia vertės ir gedimo taškus, todėl išnaudotojai juos naudoja išėjimui. Kelių grandinių programoms reikia integruotų sustabdymo, leidžiamųjų sąrašo pakeitimų ir likvidumo stebėjimo procedūrų, o ne kodavimo įvykus pažeidimui.
Radiant dokumentai rodo, kaip jų atsakas laikui bėgant sugriežtėjo, tačiau mokymosi kreivė buvo brangi, nes užpuolikas turėjo iniciatyvą. Šie dabartiniai „Tornado“ grynųjų pinigų srautai yra tik to paties paskirstymo galas.
Eksploatuotojas nuolat perkelia lėšas, nes infrastruktūra veikia ir toliau. Atrodo, kad tikrasis sprendimas yra griežtinti raktų turėtojų procedūras, susiaurinti patvirtinimo apimtis, stebėti tiltus realiuoju laiku ir ypač atsargiai elgtis su pasirašančiojo įrenginiais.
Įtariu, kad pamatysime daugiau to paties, kol sąlygos nepasikeis. Daugiau žinomų dydžių Tornado telkinių, daugiau tiltų veiklos iš adresų, susietų su pradiniais keliais. Galų gale kažkas bandys išgryninti pinigus per reguliuojamą vietą, o atitikties biurai turės pasverti laiką ir modelius, palyginti su klientų paaiškinimais.
Rinkos pasekmės yra nuspėjamos – kiekvienas toks paciento išėjimas panaikina pasitikėjimą kryžminių grandinių sistemomis ir verčia komandas tikrinti ne tik kodą, bet ir veiklos procedūras. Vartotojai siekia gauti derlių tinkluose, nes jie jaučiasi vientisai, tačiau labiausiai įgudę vagys tiksliai žino, kur paslėptos siūlės.
