Так КНДР стала третьей по величине страной в мире в биткойнах

С легким щелчком мыши Бен Чжоу на самом деле дал зеленый свет одному из крупнейших ограблений в истории криптовалют. Основатель торговой платформы Bybit позволил анонимным хакерам украсть средства на общую сумму в 1,5 миллиарда долларов за одну единственную транзакцию. Вскоре после инцидента Северная Корея оказалась главным подозреваемым.

Всего через несколько недель Пхеньян стал третьей по величине страной в мире по количеству биткойнов. Северокорейские хакеры сумели похитить 401 000 криптовалют в Ethereum. В то время как в Bybit предполагали, что средства были просто переведены между внутренними цифровыми кошельками компании, на самом деле они отправлялись в Северную Корею.

Спустя всего час после взлома генеральный директор биржи разместил сообщение в социальных сетях, уведомив о произошедшем.

"Если кто-то сможет помочь нам отследить украденные средства, мы будем признательны," — написал Чжоу, заверяя всех, что остальные операции остаются в безопасности и что все депозиты защищены.

Уже через неделю ФБР подтвердило, что за кражей стоят северокорейские хакеры. План был реализован с использованием уязвимости в системе безопасности криптовалютной платформы. Несмотря на то, что Bybit обрабатывает депозиты в размере 20 миллиардов долларов от 60 миллионов клиентов, в течение многих лет биржа полагалась на бесплатное программное обеспечение для кошельков своих пользователей и периодически вручную переводила средства с одного счета на другой.

Для одобрения таких операций Бен Чжоу и два других менеджера должны были согласовать их, что они обычно делали, устанавливая разные уровни безопасности. Однако в ночь взлома, 21 февраля прошлого года, наемные хакеры из Северной Кореи уже проникли в систему безопасности и внедрили вредоносный код, который позволил им перехватывать и манипулировать транзакциями, как вскоре выяснили внутренние аудиторы Bybit.

Так, когда Бен Чжоу думал, что одобряет стандартную операцию между внутренними счетами компании, он на самом деле санкционировал крупнейшую кражу криптовалюты в истории.

Это не первый случай, когда северокорейские хакеры проявляют активность в таком роде, и их преступная деятельность стремительно растет. Если в 2023 году общие потери составили 660 миллионов долларов, то за 2024 год они достигли рекорда в 1,3 миллиарда, согласно анализу компании Chainalysis, специализирующейся на блокчейне. С учетом кражи на Bybit эта сумма уже превысила бы все предыдущие.

За этим ограблением стоит Lazarus Group, подразделение киберпреступности, действующее под крышей режима Пхеньяна. Эти хакеры известны своими изощренными методами, зачастую использующими продвинутые вредоносные программы, социальную инженерию и кражу криптовалют для финансирования государственных операций и обхода международных санкций, как сообщается в отчете Chainalysis.

Соединенные Штаты обвинили Северную Корею в использовании экономических преимуществ от этих преступлений для финансирования своей программы вооружений. Вашингтон утверждает, что половина финансов, необходимых для ракетной программы Кима Чен Ына, поступает от кибератак, которые также используются для финансирования ядерного перевооружения.

В ответ на кражу компания предложила вознаграждение в размере 10% от суммы средств тем, кто сможет помочь вернуть или заморозить украденные активы. Однако их отслеживание представляет собой трудную задачу.

"Для того чтобы скрыть происхождение украденных средств, эти киберпреступники используют децентрализованные финансовые инструменты (DeFi), в частности децентрализованные платформы обмена (DEX) и кросс-цепочные протоколы, такие как THORchain, для конвертации активов в различные криптовалюты", — объясняет Ари Редборд, глобальный директор TRM Labs, занимающейся блокчейн-аналитикой.

Чтобы усложнить отслеживание своих операций, преступники прибегают к использованию крипто-миксеров, таких как Wasabi и CryptoMixer, которые полностью скрывают следы транзакций, затрудняя возврат активов. Отмывание такой суммы денег является непростой задачей, так как Пхеньян не может рассчитывать на крупные криптовалютные платформы, такие как Binance или Coinbase.

Тем не менее, группа продолжает расширять свои операции и весьма эффективно работает в этом направлении. По оценкам TRM Labs, к 3 марта Lazarus Group уже перевела все средства на новые адреса, в основном в биткойнах, используя THORchain — сервис, позволяющий осуществлять обмены без централизованных посредников. С 24 февраля по 2 марта платформа THORchain продемонстрировала беспрецедентный рост активности.

"Эта скорость действий свидетелствует о том, что Северная Корея расширила свою инфраструктуру по отмыванию денег или что подпольные финансовые сети, особенно в Китае, значительно улучшили свои возможности помочь в обработке незаконных средств", — отмечают блокчейн-аналитики.

Как указывается в отчете, текущая операция вступила во вторую фазу, когда часть украденных средств была переведена в миксеры, и пока непонятно, смогут ли они продолжать перерабатывать такие объемы средств. Режиму Ким Чен Ына нужны криптовалюты, которые не вызовут подозрений, чтобы впоследствии конвертировать их в официальные валюты, такие как китайские доллары или юани, с которыми он работает на международной арене. Несмотря на достигнутый прогресс, аналитик швейцарского банка Julius Baer Мануэль Вильегас сомневается в том, что Пхеньян сможет быстро отмыть все эти средства.

"Это не произойдет мгновенно. Им придется действовать постепенно", — считает он.

Хотя они и смогут добиться успеха, поскольку, к сожалению, это связано с криптовалютами, как и с любыми другими деньгами, будь то бумажными или золотыми.

"Тот, кто намерен совершить преступление, всегда найдет способ это сделать", — отмечает он.

В тоже время он предостерегает, что "никто не захочет иметь дело с этими токенами. Никто — ни одно учреждение, ни долгосрочные инвесторы, ни один инвестор в стране, где власти имеют возможность вмешаться". По этой причине им предстоит столкнуться с "дилеммой заключенного", подчеркивает он.

Тем не менее, специалисты из TRM Labs указывают на то, что "масштаб и скорость этих операций предъявляют новые требования к исследователям, поскольку традиционные механизмы борьбы с отмыванием денег испытывают трудности в связи с возросшими объемами незаконных транзакций".

При этом не стоит забывать, что криптовалютные рынки не боятся возможности усиления контроля со стороны регулирующих органов.

"Что смогут сделать регуляторы с криптовалютой, чтобы еще больше подорвать и без того хрупкие обменные пункты и создать гораздо более несовершенную конкуренцию?" — задается вопросом Маруэль Вильегас.

Инвесторы также не проявили особого беспокойства по поводу взлома Bybit, как показали данные после инцидента.

"Bybit справился с кризисом, и это заслуживает признания," — отмечает аналитик Julius Baer.

Мало кто способен быстро собрать миллионы долларов для обработки транзакций на бирже. Однако Вильегас подчеркивает, что "инвесторы должны обратить внимание на важность кибербезопасности на финансовых рынках", а не только в криптовалютном пространстве. Этот тип преступной деятельности "постепенно возрастает во всех остальных классах активов с искусственным интеллектом" и "будет продолжаться", предостерегает он.

Благодаря таким операциям Северная Корея стала третьим по величине правительством с наибольшим количеством биткойнов в мире, как сообщают данные Arkham Intelligence. Эти данные показывают, что Пхеньян накопил около 13 500 биткойнов, что в эквиваленте долларов составляет более 1 миллиарда.

Таким образом, страна обошла даже Сальвадор, правительство которого всего два месяца назад признало биткойн законным платежным средством, уступив при этом только Соединенным Штатам и Великобритании.

"Однако, в отличие от Соединенных Штатов, которые планируют создать стратегический резерв биткойнов, основанный на захваченных незаконных средствах, биткойны Северной Кореи полностью являются результатом грабежей и иной преступной деятельности", — подчеркивает Ари Редборд.

Северная Корея, у которой нет заметной экономики, является государством, зависящим от отмывания денег, использующим украденные средства для поддержания своего режима и финансирования распространения оружия и других дестабилизирующих действий. Именно поэтому, несмотря на всеобъемлющие экономические санкции, Северной Корее удалось создать в своих руках "ковчег войны" за счет преступной деятельности, которая представляет собой постоянную угрозу для глобальной безопасности.