کالین تیری
بازیگران تهدید کننده حمله به پل رونین در ماه مارس از ابزارهای حفظ حریم خصوصی برای تبدیل وجوه دزدیده شده اتریوم (ETH) به بیت کوین (BTC) قبل از انتقال آنها از طریق خدمات میکسر رمزنگاری تحریم شده استفاده کردند.
هکرها از renBTC (یک پروتکل انتقال زنجیره ای باز و مبتنی بر جامعه) به همراه خدمات ترکیب بیت کوین Blender و ChipMixer برای پردازش اکثر وجوه دزدیده شده از هک ۶۲۵ میلیون دلاری استفاده کردند.
مسیر وجوه دزدیده شده توسط ₿liteZero، محققی که از زمان حادثه رونین در 23 مارس در شرکت امنیتی بلاک چین SlowMist کار کرده است، تجزیه و تحلیل شد.
هکرها ابتدا بیشتر دارایی های دزدیده شده را به ETH تبدیل کردند و سپس از میکسر رمزنگاری Tornado Cash که اکنون تحریم شده است برای پوشش دادن ردیابی خود استفاده کردند.
طبق ₿liteZero’s گزارش هفته گذشته، عوامل تهدید در ابتدا بخشی از وجوه دزدیده شده (6,249 ETH) را پنج روز پس از حمله به صرافی های متمرکز (CEX) منتقل کردند. پس از آن، آنها ETH را به BTC تبدیل کردند قبل از اینکه حدود 20.5 میلیون دلار دارایی رمزنگاری شده را به ابزار حریم خصوصی بیت کوین Blender منتقل کنند.
بیشتر وجوه دزدیده شده (175,000 ETH) سپس به تدریج بین 4 آوریل تا 19 می به Tornado Cash تزریق شد. هکرها از پلتفرم های صرافی غیرمتمرکز (DEX) 1inch و Uniswap برای مبادله نزدیک به 113,000 ETH به renBTC استفاده کردند.
در مرحله بعد، عوامل تهدید از قابلیت های زنجیره ای renBTC برای انتقال وجوه سرقت شده به شبکه بیت کوین و تبدیل توکن ها به BTC استفاده کردند. در نهایت، آنها سپس حدود 6,631 بیت کوین را از طریق انواع پلتفرم ها و پروتکل های DEX و CEX پراکنده کردند.
₿liteZero گفت: که تحقیقات در مورد هک رونین هنوز در حال حاضر ادامه دارد. او افزود: "من روی تجزیه و تحلیل هکرهای Ronin کار می کنم و کار بعدی پیچیده تر خواهد بود."
محققان بر این باورند که اعضای باند جنایت سایبری بدنام کره شمالی گروه لازاروس مظنونان اصلی حمله به پل رونین هستند. با توجه به خبر در حساب توییتر رسمی رونین، FBI همچنین "گروه لازاروس مستقر در کره شمالی را به نقض امنیتی Ronin Validator نسبت داد."
