1. Match Systems в настоящее время ведет несколько дел, связанных со взломом кошелька Atomic Wallet (крупнейшее из них — на сумму 8 миллионов долларов США).
По некоторым из них уже возбуждены уголовные дела, в том числе в Казахстане и Эстонии (номер дела 23221000007). Уголовные дела зафиксированы как минимум в 5 различных юрисдикциях. Также известно о первом вызове на допрос руководителей Atomic Wallet полицией Казахстана.
2. Для отмывания украденных средств активно использовались сервисы, не имеющие процедур KYC и AML для транзакций:
С момента взлома Atomic Wallet мы наблюдаем значительный рост объема средств, прошедших через эти сервисы. Например, объемы миксера Sinbad (по данным Chainalysis) в июне выросли более чем в три раза:
А количество транзакций на операционном адресе сервиса SwftSwap в июне выросло на порядок:
Злоумышленники в своих схемах отмывания денег используют сложные процедуры обмена и различные «обернутые» (wrapped) токены, которые доступны для анализа только с помощью специализированных инструментов (например, Phalcon):
В общей сложности, только по известным данным, через вышеуказанные сервисы (в различных комбинациях) были отмыты криптовалютные средства, похищенные из кошельков Atomic Wallet, на общую сумму более 100 миллионов долларов США (реальные цифры могут быть гораздо выше).
Данные сервисы в настоящее время не идут на активный контакт и воздерживаются от каких-либо комментариев. Кроме того, некоторые свап-сервисы (в частности, SimpleSwap) работают, используя ликвидность крупнейших бирж (прежде всего Binance и Huobi), и не помечены как отдельные субъекты в блокчейн-анализаторах, что также затрудняет отслеживание движения украденных средств. Фактически, при использовании таких свап-сервисов украденные средства проходят через «горячий кошелек» биржи и полностью отмываются при выходе из нее.
Следует отметить, что анонимные свап-сервисы в практике мошенников используются все чаще (и не только в случаях, связанных со взломом Atomic Wallet), так как позволяют отмывать «грязные» средства без использования AML и KYC. А регулирование этого сегмента крипторынка все еще находится на зачаточном уровне.
3. Текущая ситуация со взломом могла быть вызвана недостаточным уровнем безопасности при построении архитектуры кошелька. Из открытых источников стало известно, что копии приватных ключей пользователей Atomic Wallet могли передаваться на сервер компании Atomic Wallet. Также на сервере компании Atomic Wallet могли храниться фразы восстановления кошелька (seed-фразы), которые не были достаточно случайными, что также могло привести к краже.
Таким образом, сотрудники и руководители Atomic Wallet могли иметь доступ к приватным ключам и фразам восстановления пользователей. Администрация Atomic Wallet не идет на контакт и не оказывает должного содействия в процессе расследования взлома, в том числе правоохранительным органам. Представители Atomic Wallet ссылаются на взаимодействие с Chainalysis, которая является официальным партнером в расследовании инцидента.
