Chainalysis przedstawia szczegóły dotyczące ujawnienia „cieniowej gospodarki kryptowalutowej” w związku z zawieszeniem działalności przez Grinex

Najważniejsze wnioski:

• Chainalysis wskazuje, że transakcje wymiany w Grinex są niezgodne z typowymi konfiskatami przeprowadzanymi przez organy ścigania.
• Konwersje oparte na Tron wskazują, że nielegalni aktorzy unikają interwencji emitenta stablecoinów.
• Działalność Grinex nie pokrywa się wyraźnie z wzorcami typowego zewnętrznego ataku hakerskiego.

Zamknięcie Grinex rodzi pytania dotyczące taktyk prania kryptowalut

Presja sankcji nadal wystawia na próbę odporność sieci kryptowalutowych powiązanych z ograniczoną działalnością finansową. 17 kwietnia firma Chainalysis zajmująca się analizą danych blockchain zbadała Grinex po tym, jak objęta sankcjami giełda zawiesiła działalność. W raporcie zamknięcie platformy opisano jako nowy punkt krytyczny dla infrastruktury powiązanej z omijaniem sankcji.

Grinex twierdził, że cyberatak kosztował około 1 mld rubli, czyli 13,7 mln dolarów, i opublikował adresy źródłowe oraz docelowe, które brały w nim udział. Następnie Chainalysis ocenił transfery, korzystając z danych z łańcucha bloków, zamiast polegać na relacji giełdy. Analiza wykazała, że skradzione aktywa stanowiły głównie stablecoiny zabezpieczone walutą fiducjarną, zanim zostały przeniesione przez zdecentralizowaną giełdę opartą na Tron do TRX.

„W przypadku domniemanego włamania do Grinex środki w stablecoinach zostały szybko zamienione na tokeny, których nie można zamrozić, co pozwoliło uniknąć ryzyka zamrożenia stablecoinów przez emitenta” – stwierdziła firma zajmująca się analizą łańcucha bloków, dodając:

„Ta gorączkowa zamiana stablecoinów na bardziej zdecentralizowane tokeny jest charakterystyczną taktyką cyberprzestępców i nielegalnych podmiotów próbujących wyprać środki, zanim zostanie wykonane scentralizowane zamrożenie”.

Chainalysis argumentowała, że zachowanie to nie pasuje do typowego zajęcia przez zachodnie organy ścigania, ponieważ władze mogą zażądać zamrożenia środków od scentralizowanych emitentów stablecoinów. Firma stwierdziła natomiast, że szybka konwersja budzi wątpliwości co do tego, czy działanie to jest zgodne z konwencjonalnym atakiem hakerskim z zewnątrz.

Cień kryptogospodarki ujawnia głęboko powiązaną strukturę

Wnioski te opierają się nie tylko na samym zarzucie ataku. Chainalysis zauważyła, że zdecentralizowana giełda wykorzystana w wymianie służyła wcześniej Garantexowi, objętemu sankcjami poprzednikowi Grinex, jako źródło płynności dla gorących portfeli. Szczegół ten jest godny uwagi, ponieważ Chainalysis opisała już Grinex jako bezpośredniego następcę Garantex po tym, jak międzynarodowe organy ścigania zakłóciły działanie wcześniejszej platformy. Firma powiązała również Grinex z A7A5, tokenem zabezpieczonym rublem, wyemitowanym przez objętą sankcjami kirgiską firmę Old Vector.

Według analizy, A7A5 został stworzony dla wąskiego ekosystemu płatności powiązanego z Rosją, dostosowanego do potrzeb rozliczeń transgranicznych w obliczu presji sankcji. Chainalysis dodała, że w momencie publikacji wykradzione środki nadal znajdowały się na jednym adresie, pozostawiając ślad do przyszłej analizy kryminalistycznej.

Szerszy wniosek dotyczył nie tyle samej kradzieży, co otaczającego ją systemu finansowego. Chainalysis zauważył, że incydent ten jest najnowszym zakłóceniem w „cieniowej gospodarce kryptowalutowej”. To sformułowanie oddaje szerszy wniosek firmy, że Grinex, Garantex, A7A5 i powiązane usługi tworzyły wzajemnie powiązaną sieć zaprojektowaną w celu utrzymania przepływu wartości pomimo sankcji. Chainalysis ujawniła ponadto, że oznaczyła odpowiednie adresy w swoich produktach, aby pomóc klientom w identyfikacji narażenia w miarę przepływu środków w dół łańcucha. Nawet bez ostatecznego przypisania odpowiedzialności firma jasno stwierdziła, że zawieszenie działalności Grinex szkodzi kluczowemu kanałowi w ramach tego ekosystemu objętego sankcjami.