21 февраля 2025 года произошла самая громкая хакерская атака в криптоиндустрии, и целью стала довольно популярная централизованная биржа Bybit. Хакеры получили доступ к одному из холодных кошельков платформы, с которого вывели Ethereum на сумму ~$1,4 млрд.
И спустя несколько дней криптодетектив ZachXBT связал эту атаку с известной северокорейской группировкой Lazarus. Сложно описать в двух словах, насколько мощна данная группировка, тем более что про неё до сих пор почти ничего неизвестно. И лучше за них скажут их дела:
2016 год — ограбление Банка Бангладеш (ущерб $81 млн);
2022 год — взлом Axie Infinity (ущерб $625 млн);
2022 год — атака на Harmony Bridge (ущерб $100 млн);
2023 год — взлом Stake (ущерб $41 млн);
2025 год — крупнейший удар по Bybit ($1,5 млрд).
Масштабы их атак поражают, и, учитывая, что многие считают транзакции в блокчейне анонимными, может возникнуть ощущение, что вычислить их невозможно. Однако такие криптодетективы, как ZachXBT, сумели это сделать. И получилось это благодаря развивающемуся направлению цифровой криминалистики Crypto Forensics, или криптовалютной криминалистики. В этой статье я расскажу, что из себя представляет криптофорензика, каковы её методы и инструменты. А также разберу и покажу на практике реальный кейс с вычислением группировки Lazarus на примере их атаки на Harmony Bridge в 2022 году.
Криптовалютная криминалистика (Crypto Forensics) — это направление цифровой криминалистики, которое занимается анализом блокчейнов, транзакций и связанных данных для выявления преступных действий, таких как отмывание денег, мошенничество, финансирование терроризма и взломы бирж. Специалисты по информационной безопасности (ИБ) применяют методы анализа данных, OSINT, машинного обучения и инструментов блокчейн-аналитики для расследования инцидентов.
Статья носит справочный характер. Автор не несёт ответственности за противоправные действия после её прочтения.
Основные аспекты криптовалютной криминалистики
1. Архитектура блокчейнов и специфика анализа
Каждый блокчейн имеет свои особенности, но большинство следуют стандартной модели:
Публичные блокчейны (Bitcoin, Ethereum) — доступны для анализа всем пользователям.
Приватные блокчейны (Hyperledger, Corda) — требуют внутренних разрешений.
Анонимные блокчейны (Monero, Zcash) — используют продвинутые методы сокрытия данных (RingCT, zk-SNARKs).
Анализ транзакций включает изучение:
UTXO-модели (Bitcoin, Litecoin) — анализ входов и выходов транзакций.
Account-based-модели (Ethereum, Binance Smart Chain) — отслеживание состояний аккаунтов.
На картинке ниже представлена самая простой вид UTXO-модели, на примере всем известных Алисы и Боба.
Однако сама модель гораздо сложнее, по сути она отражает, сколько криптовалюты владелец адреса имеет право потратить. Так что проводить анализ по ним довольно сложно, но это можно списать на то, что биткоин — это блокчейн первого поколения, и будущее развитие блокчейн-технологий шло в сторону упрощения.
И, например, в более современном блокчейне — Ethereum — пришли к простой модели, которая используется в традиционных банках, Account-based-модели. Её самое простое представление:
Account #12 241 → Name: John Doe → Balance: $167.50
Account #12 242 → Name: Alice Bob → Balance: $162.50
И здесь всё просто, если John отправил Alice $5, то на балансе John убыло, а у Alice прибыло:
Account #12 241 → Name: John Doe → Balance: $162.50
Account #12 242 → Name: Alice Bob → Balance: $167.50
Сейчас, конечно, уже придумали инструменты, способные в автоматическом режиме анализировать изменения в блокчейне на основе этих моделей и представлять их в удобном виде в одном месте. Например, в графовом представлении поможет GraphSense.
2. Источники данных и инструменты анализа
2.1. Публичные блокчейн-эксплореры
Blockchair — многоплатформенный эксплорер с API.
Etherscan — анализ Ethereum и токенов ERC-20.
Blockchain.com Explorer — поддержка BTC, ETH, BCH.
Работают, как обычные поисковики, достаточно вставить адрес кошелька или хэш транзакции.
2.2. Продвинутые аналитические платформы
Chainalysis — одна из ведущих аналитических платформ с обширной базой адресов и связей.
Elliptic — предлагает машинное обучение для выявления подозрительных паттернов.
Crystal Blockchain — анализ связей между криптоадресами и биржами.
CipherTrace — анализ транзакций и мониторинг рисков.
Кстати, CipherTrace специализируется на расследованиях преступлений в сфере криптовалют. Многие крупные биржи и рядовые пользователи, которые были обмануты, обращаются к данной компании, чтобы попробовать вернуть украденные средства или по крайней мере вычислить злоумышленника.
2.3. Open-Source-инструменты
BlockSci — анализ биткоин-транзакций с помощью Python.
GraphSense — фреймворк для анализа связей в блокчейне.
BTCparser — скрипты для анализа UTXO.
3. Методы криптовалютного анализа
3.1. Анализ цепочек транзакций
Методы:
Кластеризация адресов — группировка связанных адресов на основе общих входов (common-input heuristic).
Холодные и горячие кошельки — анализ паттернов движения средств.
Выявление мостов (Bridges) и микшеров (Mixers) — инструменты для отмывания средств.
Здесь стоит уделить особое внимание миксерам, которые зачастую и являются основным препятствием в анализе транзакций. Они буквально смешивают кучу криптовалюты в кучу и перенаправляют её конечным получателям, не раскрывая в транзакции адрес отправителя
3.2. Обратный анализ (Heuristic Analysis)
Обнаружение повторяющихся паттернов (паттерны распределения средств).
Мониторинг времени и частоты транзакций — определение автоматизированных ботов или сервисов отмывания.
Проверка связей с биржами — выявление точек ввода/вывода средств.
Методы работы в обратном анализе очень близки по духу с работой Threat-Intelligence-аналитиков в информационной безопасности. Кропотливая работа с постепенным наращиванием собственной базы знаний.
3.3. Деканонимизация пользователей
Используются методы:
OSINT-исследование — анализ соцсетей, форумов, Telegram-каналов.
Анализ метаданных транзакций — например, сообщений OP_RETURN.
Анализ сетевого трафика — с помощью инструментов типа Wireshark и анализа временных меток.
По своей сути, все расследования в криптовалютной криминалистике сводятся к OSINT, т. е. поиску информации из открытых источников из-за специфики блокчейна и распределённости его пользователей.
Однако изредка бывают ситуации, когда у вас на руках будут цифровые артефакты с компьютера мошенника, и по сетевому трафику можно определить временные метки и остальную информацию по совершению транзакции и сопоставить с данными из открытых источников, что вполне может являться доказательством в деле.
Также можно опираться на информацию из телеграм-каналов, часто именно там ищут покупателей на украденную криптовалюту.
4. Расследование преступлений с криптовалютами
Теперь стоит перейти к основной теме данной статьи, а именно когда Crypto Forensics вступает в дело. Когда криптодетективы начинают свои поиски атакующих. Разберём типовые сценарии расследований в области криптовалют.
4.1. Взломы криптобирж
Типичные сценарии:
Использование фишинговых атак (краденые приватные ключи, 2FA).
Манипуляции с ликвидностью (Pump & Dump схемы).
Вывод средств через DeFi-платформы — мосты (RenBridge, THORChain) и DEX-обменники (Uniswap, PancakeSwap).
Методы расследования:
Анализ аффилированных адресов (адреса, использовавшие одни и те же входы).
Выявление «чистых» адресов (которые напрямую связаны с биржами).
Отслеживание активности в даркнете (аналитика P2P-обменов и форумов).
4.2. Ransomware и отмывание денег
Киберпреступники используют криптовалюты для получения выкупа. Способы маскировки:
Микшеры (CoinJoin, Wasabi, Tornado Cash).
Конвертация в Monero и обратно.
Использование децентрализованных обменников и даркнет-рынков.
Инструменты расследования:
Анализ связей (GraphSense, Chainalysis).
Декомпозиция сложных транзакций (Bitcoin Graph Analysis).
Мониторинг движений в P2P-обменниках (LocalBitcoins, Paxful).
5. Юридические и этические аспекты
Стоит отметить, что, помимо технических аспектов в криптовалютной криминалистике, во время расследования нужно учитывать юридические аспекты, которые помогут добиться наилучшего результата, если пользоваться ими.
Основные юридические и этические аспекты, которые могут помочь или будут, наоборот, беспомощны в криптовалютных расследованиях:
Работа с правоохранительными органами в случае централизованных бирж — запросы на биржи и KYC-данные.
Ограничения в анонимных блокчейнах — юридическая сложность расследования Monero/Zcash.
Соблюдение GDPR — обработка персональных данных пользователей.
Для более чёткого понимания методов работы в области Crypto Forensics разберём практический кейс: как связать атаку с её исполнителем. На примере известной кибергруппировки Lazarus.
Практический анализ криптовалютных транзакций на примере APT-группировки Lazarus
Введение
APT-группировка Lazarus, связанная с Северной Кореей, использует криптовалютные атаки для финансирования государственных операций. Они проводят взломы бирж, атаки на DeFi-протоколы, а также используют микшеры и мосты для отмывания похищенных средств.
В этом практическом примере мы рассмотрим анализ транзакций, связанных с Lazarus, во время атаки на Harmony Bridge в 2022 году.
Шаг 1: Идентификация взлома и оценка ущерба
Дата взлома: 24 июня 2022 года.
Сумма ущерба: $99.6 млн в 14 видах криптовалют (включая ETH, BNB, USDC, USDT, DAI и др.).
Метод атаки: компрометация двух приватных ключей из мультиподписи (2 из 5) через фишинг и заражение рабочих станций.
Сеть: Ethereum и Binance Smart Chain.
Шаг 2: Консолидация и отмывание через Tornado Cash
После кражи активы были сконвертированы в ETH через Uniswap, и 85,837 ETH были сконцентрированы на одном адресе:
0x0d043128146654C7683Fbf30ac98D7B2285DeD00
Вы можете самостоятельно зайти на etherscan и увидеть все транзакции этого адреса. Причём сейчас на сайте эксплорера он помечен как причастный к атаке на Harmony Bridge.
Если отфильтровать по входящим транзакциям, то можно увидеть, что за один день пришло несколько переводов с большим количеством ETH.
Затем они были распределены и отправлены в Tornado Cash по 100 ETH за транзакцию:
Всего 857 транзакций;
Период: с 27 июня по 2 июля 2022 года;
Регулярность: каждые 7 минут.
Методика обнаружения транзакций на какие-либо миксеры или в целом на Web3-приложения заключается в том, что у каждого смарт-контракта (буквально программа с набором функций приложения) имеется свой адрес, и для того, чтобы выполнить какую-то функцию сервиса, нужно отправить криптовалюту по адресу смарт-контракта.
Соответственно, чтобы найти взаимодействие атакующего с каким-либо приложением, достаточно найти транзакции на адрес смарт-контракта приложения. Например, Tornado Cash:
Очевидно, всё это проводилось не через один адрес, цепочка включала в себя несколько промежуточных и примерно так выглядела на практике:
Аналитики, выполнявшие расследование атаки на Harmony Bridge, использовали поведенческие паттерны, чтобы деанонимизировать выходные адреса из Tornado Cash. И выявили ключевые грабительские ошибки:
Регулярность;
Использование новых адресов;
Группировка по 10 адресов (на каждый пул в 6000 ETH);
Все выводы осуществлялись через relayer (посредника).
Как итог: были выявлены 143 «пост-миксерных» адреса, получивших в совокупности 84,663 ETH.
Шаг 3: Лежащие средства и новый этап отмывания — Railgun
В январе 2023 года (7 месяцев спустя) 41,647 ETH были выведены через протокол Railgun, ориентированный на конфиденциальные DeFi-операции с использованием ZK-протоколов.
Что использовали криптодетективы:
Railgun был почти пуст до этой активности → высокая вероятность корреляции;
Обнаружен паттерн: 5 депозитов → 1 большой вывод;
71 адрес-депозитор, затем 26 выходных транзакций.
Пример адреса вывода (он также был помечен в эксплорерах как связанный с атакой на Harmony Bridge):
Итог отмывания средств:
6,449 ETH остаются нетронутыми на 13 адресах;
35,262 ETH были выведены на централизованные биржи (CEX) после прохождения через 184 промежуточных адреса.
Примерно таким образом выглядело запутывание атакующих через множество промежуточных адресов:
Шаг 4: Финальная стадия — депозиты на биржи
Этот заключительный шаг играет важную роль в нахождении реальных личностей злоумышленников. Так как централизованные биржи — самый простой и с виду легальный способ вывести криптовалюту в реальные деньги. Но сейчас, чтобы пользоваться централизованными биржами без ограничений, необходимо проходить процедуру верификации, и, соответственно, связать кошелек с реальным человеком не составит труда.
Через цепочки в 4–6 адресов средства попадали на биржи. Основные биржи:
Huobi — 18,037 ETH
Binance — 6,405 ETH
OKX — 1,054 ETH
Какие результаты получили криптодетективы?
Благодаря инструментам криптовалютной криминалистики им удалось построить всю цепочку перемещения средств от начала (кражи денег из Harmony) до конечных кошельков на централизованных биржах. Всё расследование было передано на централизованные биржи, и они заморозили кошельки злоумышленников. Таким образом, какие-то средства удалось спасти.
Заключение
Можно сделать общий вывод по данному направлению. Криптовалютная криминалистика — это быстро развивающаяся область, требующая сочетания знаний в области блокчейна, OSINT, машинного обучения и цифровой криминалистики. Современные инструменты и методы позволяют раскрывать преступления, но злоумышленники также совершенствуют свои техники сокрытия следов. Специалисты по ИБ должны следить за трендами и автоматизировать процессы анализа, чтобы эффективно бороться с киберпреступностью.
Надеюсь, моя статья помогла вам хотя бы немного погрузиться в тему Crypto Forensics и вы продолжите её изучение!
А также жду вас в своём телеграм-канале, где можно найти дополнительные материалы по темам публикуемых статей!
