Los especialistas de Match Systems realizaron una investigación de un caso en el que la víctima, como resultado de un «dust attack» (ataque de caspa), envió inadvertidamente 50 mil tokens USDT a la dirección de criptomonedas del estafador. Puedes encontrar más información sobre los «dust attacks» (ataques de caspa) en el artículo en el enlace.
Tras la petición de la víctima, en primer lugar, se llevaron a cabo medidas operativas para marcar la dirección del atacante como «fondos robados» en todos los principales analizadores de blockchain, y también se envió una notificación urgente sobre la pertenencia de la dirección del atacante a actividades ilegales a todos los principales exchanges de criptomonedas. Estas medidas aumentan la probabilidad de bloquear temporalmente los fondos robados cuando se envían a los exchanges. Además, la dirección del atacante, a la que se enviaron los fondos de la víctima, fue puesta bajo monitorización especial por Match Systems.
Unos días después del robo, el atacante empezó a mover los fondos robados desde una dirección que previamente había recibido un marcado de «fondos robados» del 100 % como resultado de las acciones operativas de Match Systems.
El esquema general del movimiento de los fondos robados se muestra en la visualización.
Vamos a repasarlo por orden.

1. Desde la dirección primaria, el atacante envió los 50 mil USDT robados a la siguiente dirección, desde la cual comenzó el movimiento circular de los fondos robados hacia 5 nuevas direcciones del atacante. Así, el atacante movió progresivamente los fondos robados entre 5 direcciones en círculo más de 20 veces. Después de eso, los fondos robados salieron de los límites de este círculo, yendo a la siguiente dirección nueva.

Las acciones anteriores no permitieron al atacante «blanquear» los fondos robados. La composición de los fondos recibidos en la dirección tras salir del «círculo» es 100 % «fondos robados».
2. Tras salir del «círculo», el atacante envió los 50 mil USDT robados a una larga cadena cerrada de transacciones consistente en 50 nuevas direcciones. En la segunda vuelta, el atacante transfirió los fondos a la siguiente etapa.

Las acciones anteriores tampoco permitieron al atacante «blanquear» los fondos robados. La composición de los fondos recibidos en la dirección tras salir de una larga cadena de transacciones es 100 % «fondos robados».
3. Tras salir de una larga cadena de transacciones, el atacante mezcló los 50 mil USDT robados con otros 50 mil USDT en una nueva dirección. Después los envió por separado en 50 mil USDT a 2 nuevas direcciones y los mezcló de nuevo. Luego el atacante mezcló 100 mil USDT con otros 100 mil USDT en una nueva dirección (habiendo recibido 200 mil USDT en una sola dirección).

Las acciones anteriores permitieron al atacante «blanquear» parcialmente los fondos robados al fusionarlos con otros fondos que no estaban marcados como «fondos robados». La composición de los fondos recibidos en la dirección tras salir de esta cadena de transacciones es de un 25 % de «fondos robados».
4. Tras la fusión, los 200 mil USDT recibidos se enviaron a la blockchain de BitTorrent usando el «BitTorrent-Chain ERC20 Smart Contract», donde los fondos se dividieron de nuevo en los 50 mil USDT originales y se añadieron para el mezclado 150 mil USDT, y se transfirieron de vuelta a la blockchain de Tron a 2 nuevas direcciones.

Las acciones anteriores permitieron al atacante «blanquear» por completo los fondos robados al pasarlos por otra blockchain (esta técnica la usan a menudo los atacantes para ocultar rápidamente los rastros de un delito). La composición de los fondos recibidos en la dirección tras salir de la blockchain de BitTorrent es 0 % «fondos robados».
5. Tras completar la transferencia entre cadenas (después de salir del puente BitTorrent de vuelta a la blockchain de Tron), el atacante envió los 50 mil USDT robados a 1 círculo consistente en 5 nuevas direcciones, tras lo cual los mezcló con otros 100 mil USDT dentro del círculo y sacó 50 mil USDT del círculo a una nueva dirección por separado.

6. Tras salir de la siguiente vuelta de transferencias, los 50 mil USDT robados se enviaron a la dirección final, donde los fondos se mezclaron de nuevo con otros 150 mil USDT que previamente habían salido de la blockchain de BitTorrent (esto se mencionó en el punto 4). Luego los fondos por un importe de 200 mil USDT se enviaron al servicio de préstamo de criptomonedas «JustLend.org».

Como resultado, los fondos robados quedaron «limpios». La composición de los fondos recibidos en la dirección tras salir de esta cadena de transacciones es 0 % «fondos robados».
En este artículo, usando un ejemplo real, se consideraron varios métodos utilizados por los atacantes en el «blanqueo» y la retirada de los fondos robados. Esta lista no es exhaustiva, porque existen otros métodos que implican el uso de mezcladores de criptomonedas, servicios de swap, la conducción de fondos a través de exchanges de criptomonedas o servicios de intercambio con un bajo nivel de control AML, y otros. Esta información se proporciona únicamente con fines informativos y no debe usarse con fines ilegales. El autor del artículo no se responsabiliza del uso y la aplicación posteriores de la información proporcionada.
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Estafa del enlace de reunión falso: cómo se roba la cripto
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.
