تكشف التحقيقات عن روابط غسيل الأموال عبر تورنادو في عملية اختراق محفظة عملات مشفرة بقيمة $282 مليون

أبحاث الطب الشرعي الجديدة حول اختراق محفظة $282 مليون كشفت عن نشاط واسع لغسل الأموال عبر Tornado Cash استمر بعد السرقة الأولية بوقت طويل.

CertiK يربط تدفقات الميكسير بتعرض محفظة $282 مليون للاختراق

شركة أمن البلوكتشين CertiK تتبع تدفقات Tornado Cash بقيمة $63 مليون إلى خرق محفظة العملات الرقمية في 10 يناير الذي أدى إلى سحب $282 مليون. حدد الفريق نشاط غسيل أموال جديد وأكد التحركات الأخيرة للأموال المرتبطة بالاختراق الأصلي. علاوة على ذلك، فإن الرابط الجديد يمدد بشكل كبير الجدول الزمني المعروف للنشاط بعد السرقة.

وفقًا لـ CertiK، قام المهاجم بتوجيه الأصول المسروقة عبر عدة سلاسل كتل قبل إرسالها عبر بروتوكول الخصوصية. اكتشفت الشركة عمليات تحويل منظمة دفعت بـ ( ETH) عبر سلسلة من العناوين قبل الإيداعات في Tornado Cash. ومع ذلك، فإن النمط يعكس بشكل وثيق طرق الغسل التي شوهدت في عمليات سرقة كبيرة سابقة للعملات الرقمية.

الحركات عبر السلاسل وتحويلات الدُفعات المنظمة

وجد التحقيق أن جزءًا كبيرًا من البيتكوين المسروق ( BTC) تم جسره أولاً إلى إيثيريوم ثم تحويله إلى ETH. أبرزت CertiK عنوان استقبال واحد جمع 19,600 ETH بعد عملية الجسر عبر السلسلة. ومع ذلك، تم تفتيت هذه الأرصدة بسرعة إلى أجزاء أصغر، ثم نقلت مرة أخرى، قبل أن تُرسل إلى Tornado Cash.

رقم $63 مليون يعكس جزءًا فقط من القيمة المسروقة الإجمالية لكنه يوضح التصميم المنهجي للعملية. لاحظ المحللون تكرار عمليات الدُفعات الجماعية، التي تم تنظيمها عمدًا لتقليل التدقيق على السلسلة وإطالة سلسلة الغسل. علاوة على ذلك، فإن الاستخدام المستمر والمراحل المتتالية لـ Tornado Cash أكد نية المهاجم المستمرة لتعقيد تتبع أي اختراق لمحفظة العملات الرقمية.

أشار الخبراء إلى أن أنماط غسل الأموال عبر الدُفعات الجماعية أصبحت أكثر شيوعًا في عمليات السرقة المعقدة. قام المهاجم بنقل الأموال مرارًا عبر عناوين جديدة وعبر سلاسل مختلفة، مستخدمًا فترات زمنية مختلفة ومبالغ متنوعة لتجنب التجمع الواضح. ونتيجة لذلك، فإن كل قفزة إضافية قبل الميكسير تضعف بشكل أكبر القدرة على تحديد المصدر المباشر للمحفظة المخترقة الأصلية.

قيود التتبع بعد وصول الأموال إلى Tornado Cash

شددت فرق أمن العملات الرقمية على أن إيداعات Tornado Cash تقلل بشكل حاد من فرص استرداد الأموال بعد إكمال دورات الخلط. تكسر الميكسيرات الروابط الظاهرة بين العناوين المرسلة والمستقبلة، مما يقوض التحليلات التقليدية على السلسلة. وبالمثل، يصبح تتبع جميع عمليات الخروج أكثر صعوبة بعد مغادرة الأموال للمجمع.

تبع حادث 10 يناير نفس النمط، مع تنفيذ قفزات إضافية في المحافظ قبل كل إيداع في الميكسير. أكد المحققون أن هذه القفزات اللحظية خلقت مسافة إضافية من المحفظة المصدر. علاوة على ذلك، فإن لحظة عبور الأموال إلى Tornado Cash شكلت حاجزًا حاسمًا لمعظم جهود التتبع اللاحقة.

كما أبلغت شركات الأمن عن خيارات تقليل محدودة جدًا بعد بدء خطوات غسل الأموال عبر Tornado Cash. تمكنت بعض المنصات المركزية من تحديد وتجميد أجزاء صغيرة لمستها خدماتها. ومع ذلك، فإن تلك الكتل غطت فقط جزءًا صغيرًا من الحجم الإجمالي، وتحركت غالبية الأصول خارج النطاق خلال مراحل الميكسير المبكرة.

هجوم الهندسة الاجتماعية أدى إلى اختراق كامل للمحفظة

كشفت التحقيقات في الاختراق أن العملية بدأت باختراق محفظة عبر هندسة اجتماعية مستهدفة. تظاهر المهاجم بأنه دعم فني شرعي وأقنع الضحية بالكشف عن عبارة بذرة حاسمة تضمن الوصول إلى المحفظة. ونتيجة لذلك، حصل المتسلل على السيطرة المباشرة على احتياطيات البيتكوين واللايتكوين ( LTC) الكبيرة الموجودة في الحساب المخترق.

كانت المحفظة تحتوي على أكثر من 1,459 بيتكوين وأكثر من 2 مليون LTC قبل السرقة، وفقًا لإعادة بناء CertiK. تم تحويل أجزاء من هذه الأرصدة إلى أصول رقمية أخرى خلال المراحل المبكرة لعملية الغسل. علاوة على ذلك، تم نقل أجزاء من الأموال عبر شبكات مختلفة، باستخدام تكتيكات غسل عبر السلاسل قبل التحويلات النهائية إلى ميكسير Tornado Cash.

لا يزال محللو الأمن يراقبون التحركات الجديدة من أي عناوين مرتبطة بالاختراق، على الرغم من أنهم يتوقعون الآن تقدمًا تدريجيًا فقط. إن الاستخدام المتكرر لبروتوكول Tornado Cash يبرز خطة متعمدة لمحو آثار المعاملات واستغلال تصميم الميكسير. بشكل عام، يوضح الحالة كيف يمكن للتنسيق في الهندسة الاجتماعية، والتحويلات عبر السلاسل، وإيداعات الميكسير أن يحد بشكل كبير من فرص الاسترداد في عمليات سرقة العملات الرقمية الكبرى.