Chainalysis детально описує викриття «тіньової криптоекономіки» на тлі призупинення діяльності Grinex

Основні висновки:

• Chainalysis вказує на те, що обміни Grinex не відповідають типовим конфіскаціям правоохоронних органів.
• Конвертації на базі Tron показують, що зловмисники уникають втручання емітентів стейблкоїнів.
• Діяльність Grinex не відповідає типовим схемам зовнішнього хакерського вторгнення.

Закриття Grinex викликає питання щодо тактик відмивання криптовалюти

Тиск санкцій продовжує випробовувати стійкість криптомереж, пов'язаних з обмеженою фінансовою діяльністю. 17 квітня компанія з аналізу блокчейнів Chainalysis провела перевірку Grinex після того, як біржа, що потрапила під санкції, призупинила свою діяльність. У звіті закриття було описано як новий стрес-фактор для інфраструктури, пов'язаної з ухиленням від санкцій.

Grinex заявила, що кібератака коштувала близько 1 мільярда рублів, або 13,7 мільйона доларів, і опублікувала адреси відправника та одержувача. Потім Chainalysis оцінила перекази, використовуючи дані з ланцюга, а не покладаючись на версію біржі. Аналіз показав, що вкрадені активи були переважно стабільними монетами, забезпеченими фіатом, перш ніж їх перевели через децентралізовану біржу на базі Tron у TRX.

«У випадку з імовірним злом Grinex кошти у стабільних монетах були швидко обмінені на токени, які не підлягають заморожуванню, що дозволило уникнути ризику заморожування стабільних монет емітентом», — заявила компанія з аналізу блокчейну, додавши:

«Ця шалена заміна стейблкоінів на більш децентралізовані токени є характерною тактикою кіберзлочинців та незаконних суб’єктів, які намагаються відмити кошти до того, як може бути виконано централізоване заморожування».

Chainalysis стверджує, що така поведінка не відповідає типовим заходам західних правоохоронних органів, оскільки влада може вимагати заморожування коштів у централізованих емітентів стейблкоїнів. Натомість компанія зазначила, що швидке перетворення викликає сумніви щодо того, чи відповідає ця діяльність звичайному зовнішньому хакерському нападу.

Тіньова криптоекономіка демонструє глибоко взаємопов’язану структуру

Ці висновки ґрунтуються не лише на твердженнях про атаку. Chainalysis зазначила, що децентралізована біржа, яка використовувалася для обміну, раніше слугувала Garantex, попереднику Grinex, що перебуває під санкціями, як джерело ліквідності для гарячих гаманців. Ця деталь є важливою, оскільки Chainalysis вже описала Grinex як прямого наступника Garantex після того, як міжнародні правоохоронні органи заблокували попередню платформу. Компанія також пов'язала Grinex з A7A5 — токеном, забезпеченим рублем, випущеним під санкціями киргизькою компанією Old Vector.
За даними аналізу, A7A5 був створений для вузької платіжної екосистеми, пов'язаної з Росією, що відповідала потребам транскордонних розрахунків в умовах санкційного тиску. Chainalysis додала, що викрадені кошти на момент публікації все ще перебували на одній адресі, залишаючи «живий слід» для майбутнього криміналістичного аналізу.

Загальний висновок стосувався не стільки однієї крадіжки, скільки фінансової системи, що її оточує. Chainalysis зазначила, що цей епізод є останнім зривом у «тіньовій криптоекономіці». Цей вислів відображає більш широкий висновок компанії про те, що Grinex, Garantex, A7A5 та пов’язані з ними сервіси утворили взаємопов’язану мережу, призначену для забезпечення руху коштів попри санкції. Chainalysis також повідомила, що позначила відповідні адреси у своїх продуктах, щоб допомогти клієнтам виявляти ризики під час переміщення коштів. Навіть без остаточного встановлення причетності компанія чітко зазначила, що призупинення діяльності Grinex завдає шкоди ключовому каналу в цій екосистемі, що підпадає під санкції.