Chainalysis раскрывает подробности о «теневой криптовалютной экономике» на фоне приостановки деятельности Grinex

Основные выводы:

• Chainalysis отмечает, что обмены Grinex не соответствуют типичным конфискациям правоохранительных органов.
• Конвертации на базе Tron показывают, что злоумышленники избегают вмешательства эмитентов стейблкоинов.
• Деятельность Grinex явно не соответствует схемам обычного внешнего взлома.

Закрытие Grinex вызывает вопросы о тактиках отмывания криптовалюты

Давление санкций продолжает проверять устойчивость криптовалютных сетей, связанных с ограниченной финансовой деятельностью. 17 апреля компания Chainalysis, занимающаяся анализом блокчейна, провела исследование Grinex после того, как подвергшаяся санкциям биржа приостановила свою деятельность. В отчете закрытие было описано как новый фактор напряжения для инфраструктуры, связанной с обходом санкций.

Grinex заявила, что кибератака обошлась примерно в 1 млрд рублей, или 13,7 млн долларов, и опубликовала адреса источника и назначения, участвовавшие в ней. Затем Chainalysis оценила переводы, используя данные цепочки блоков, а не полагаясь на версию биржи. Анализ показал, что похищенные активы в основном представляли собой стабильные монеты, обеспеченные фиатной валютой, прежде чем были переведены через децентрализованную биржу на базе Tron в TRX.

«В случае предполагаемого взлома Grinex средства в стабильных монетах были быстро обменены на токены, которые нельзя заморозить, что позволило избежать риска замораживания стабильных монет эмитентом», — заявила компания по аналитике блокчейна, добавив:

«Эта лихорадочная замена стейблкоинов на более децентрализованные токены является характерной тактикой киберпреступников и незаконных субъектов, пытающихся отмыть средства до того, как может быть осуществлено централизованное замораживание».

Chainalysis утверждает, что такое поведение не соответствует типичному изъятию со стороны западных правоохранительных органов, поскольку власти могут запросить замораживание средств у централизованных эмитентов стейблкоинов. Вместо этого компания заявила, что быстрое преобразование вызывает вопросы о том, соответствует ли эта деятельность обычному внешнему взлому.

Теневая криптоэкономика демонстрирует глубокую взаимосвязанную структуру

Эти выводы основаны не только на заявлении об атаке. Chainalysis отметила, что децентрализованная биржа, использованная для обмена, ранее служила Garantex, подвергнутому санкциям предшественнику Grinex, в качестве источника ликвидности для «горячих» кошельков. Эта деталь примечательна тем, что Chainalysis уже описала Grinex как прямого преемника Garantex после того, как международные правоохранительные органы пресекли деятельность более ранней платформы. Компания также связала Grinex с A7A5 — токеном, обеспеченным рублем, выпущенным подвергнутой санкциям киргизской компанией Old Vector.
Согласно анализу, A7A5 был создан для узкой платежной экосистемы, связанной с Россией, в соответствии с потребностями трансграничных расчетов в условиях санкционного давления. Chainalysis добавила, что похищенные средства на момент публикации все еще находились на одном адресе, оставляя «живой» след для будущей криминалистической экспертизы.

Более широкий вывод касался не столько одной кражи, сколько финансовой системы, окружающей ее. Chainalysis отметила, что этот эпизод является последним сбоем внутри «теневой криптоэкономики». Эта фраза отражает более общий вывод компании о том, что Grinex, Garantex, A7A5 и связанные с ними сервисы формировали взаимосвязанную сеть, предназначенную для поддержания движения стоимости несмотря на санкции. Chainalysis также сообщила, что она пометила соответствующие адреса в своих продуктах, чтобы помочь клиентам выявить риски по мере перемещения средств вниз по цепочке. Даже без окончательной атрибуции компания дала понять, что приостановка деятельности Grinex наносит ущерб ключевому каналу в этой экосистеме, подпадающей под санкции.