קולין תיירי
שחקני האיום מאחורי מתקפת גשר רונין במרץ השתמשו בכלי פרטיות כדי להמיר כספי Ethereum (ETH) גנובים לביטקוין (BTC), לפני שהעבירו אותם באמצעות שירותי מיקסר קריפטו מאושרים.
ההאקרים השתמשו ב-renBTC (פרוטוקול העברה צולב שרשרת פתוח, מונע על ידי קהילה), יחד עם שירותי ערבוב הביטקוין Blender ו-ChipMixer כדי לעבד את רוב הכספים הגנובים מהפריצה של 625 מיליון דולר.
נתיב הכספים הגנובים נותח על ידי ₿liteZero, חוקר שעבד בחברת אבטחת הבלוקצ'יין SlowMist מאז תקרית רונין ב-23 במרץ.
ההאקרים המירו תחילה את רוב הנכסים הגנובים ל-ETH ולאחר מכן השתמשו במערבל הקריפטו שאושר כעת, Tornado Cash, כדי לכסות את עקבותיהם.
לפי ₿liteZero's לדווח בשבוע שעבר, שחקני האיומים העבירו במקור חלק מהכספים הגנובים (6,249 ETH) לבורסות מרכזיות (CEX) חמישה ימים לאחר המתקפה. לאחר מכן, הם המירו את ה-ETH ל-BTC לפני שהעבירו נכסי קריפטו בשווי 20.5 מיליון דולר לכלי הפרטיות של Bitcoin Blender.
רוב הכספים הגנובים (175,000 ETH) הוזרמו בהדרגה ל-Tornado Cash בין ה-4 באפריל ל-19 במאי. ההאקרים השתמשו בפלטפורמות הבורסה המבוזרות (DEX) 1inch ו-Uniswap כדי להחליף כמעט 113,000 ETH ל-renBTC.
בשלב הבא, שחקני האיום השתמשו ביכולות הצולבות של renBTC כדי להעביר את הכספים הגנובים לרשת הביטקוין ולהמיר את האסימונים ל-BTC. לבסוף, אז הם פיזרו סביב 6,631 BTC דרך מגוון פלטפורמות ופרוטוקולים של DEX ו-CEX.
₿liteZero אמר כי החקירה על פריצת רונין עדיין נמשכת כרגע. "אני עובד על ניתוח האקרים של רונין, והעבודה הבאה תהיה מורכבת יותר", הוסיף.
החוקרים מאמינים כי חברי כנופיית פשעי הסייבר הצפון קוריאנית הידועה לשמצה קבוצת לזרוס הם החשודים העיקריים מאחורי הפיגוע בגשר רונין. פי הודעה פורסם בחשבון הטוויטר הרשמי של רונין, ה-FBI גם "ייחס את קבוצת Lazarus שבסיסה בצפון קוריאה להפרת האבטחה של רונין Validator".
