Észak-Korea kedvenc kriptopénzmosó eszközének belseje: THORChain

John-Paul Thorbjornsen, az ausztrál légierő egykori pilótájából lett kriptovállalkozó az elmúlt heteket az új kriptotárcája, a "Vultisig" népszerűsítésével töltötte. A THORChainre - egy blokkláncra, amelyet ő alapított, hogy lehetővé tegye a közvetítők nélküli kriptócserét - épülő tárca fő érve, hogy nehezebb feltörni, mint a hasonló alkalmazásokat.

Az utóbbi időben a Vultisig - magával a THORChain hálózattal együtt - megugrott az aktivitás, de a biztonsági szakértők a növekedést egy aggasztó forráshoz vezették vissza: Az észak-koreai Lazarus hackercsoport.

A Bybit kriptotőzsde februári 1,4 milliárd dolláros feltörését követően - amely a történelem legnagyobb kiberrablása volt - a THORChain központi szerepet játszott Észak-Korea pénzmosási műveleteiben. A kutatók az ellopott pénzeszközök közel 1,2 milliárd dollárt - vagyis 85%-át - a hálózaton keresztül követték nyomon, amely a Kim-rezsim elsődleges eszköze lett a kriptók blokkláncok közötti mozgatására.

Néhány más blokkláncszolgáltatással ellentétben a THORChain üzemeltetői az FBI és más kormányzati szervek kérése ellenére sem voltak hajlandóak blokkolni a Bybit-rabláshoz kapcsolódó tranzakciókat. Az olyan THORChain tárcák, mint az Asgardex és a Vultisig - olyan eszközök, amelyeket a legtöbb ember használ a hálózaton történő tranzakciókra - szintén nem mozdultak.

A CoinDesknek nyilatkozó blokkláncbiztonsági kutatók becslései szerint a THORChain főbb tárcafejlesztői és validátorai - akik közül sokan nyilvánosan azonosítottak és szigorú pénzmosás elleni szabályozásokkal rendelkező joghatóságokban, köztük az Egyesült Államokban székelnek - több mint 12 millió dollárt kerestek a rablással kapcsolatos díjakon.

A nyilvánosan JP Thor néven ismert Thorbjornsen ragaszkodik ahhoz, hogy már nem vesz részt a THORChain napi működésében, mégis továbbra is a leglátványosabb szószólója marad. "A protokoll a káosz ellenére tovább működik és csereberél" - mondta a CoinDesknek. "Tulajdonképpen remekül működik."

Az Egyesült Államok Külföldi Eszközök Ellenőrzési Hivatala (OFAC) korábban már szankcionálta a pénzmosással kapcsolatban használt blokkláncszolgáltatásokat, például a Tornado Cash nevű mixeralkalmazást (amelyet azóta egy bírósági ítélet után töröltek a tőzsdéről ) és a Bitzlato nevű tőzsdét. Az ügyészek hasonló platformok mögött álló üzemeltetők ellen is vádat emeltek.

A jogi szakértők és a kriptoközösség számára az, hogy a THORChain-t - egy layer-1 blokkláncot - másképp kell-e kezelni, mint ezeket a többi szolgáltatást, felelevenít egy alapvető vitát, amellyel gyakorlatilag minden kriptoplatformnak szembe kell néznie: Valóban decentralizált-e a hálózat?

A kritikusok szerint nem az - legalábbis az olyan népszerű blokkláncokhoz képest, mint a Bitcoin és az Ethereum, amelyek kevesebb vizsgálatot érdemeltek ki a tiltott tranzakciók megkönnyítése miatt. A THORChain támogatói "azt állítják, hogy decentralizált, amikor kényelmes, mégis hasznot húznak ebből [a Bybit hackeléséből]" - mondta Taylor Monahan blokklánc-biztonsági kutató. "Ez nagyon rosszul néz ki".

A THORChain tranzakciós díjai - különösen a kis fejlesztőcsapatok által fenntartott pénztárcaalkalmazások által szerzett díjak - tovább bonyolítják a védekezését. Az Egyesült Államok Pénzügyminisztériumának egy korábbi tisztviselője szerint "bárki, aki pénzt keres a feltört pénzeszközök mozgatásával kapcsolatos díjakon, amelyeket már nyilvánosan a Lázárnak és Észak-Koreának tulajdonítottak, potenciálisan OFAC-problémával küzd".

Még a THORChain néhány leghangosabb támogatója is aggódik. "Amikor az áramlásaid nagy többsége Észak-Koreából származó, az emberiség történetének legnagyobb pénzrablásához ellopott pénzeszközökből áll, az nemzetbiztonsági kérdéssé válik" - figyelmeztetett egy "TCB" néven ismert THORChain-fejlesztő az X-en. "[Ez már nem játék többé".

A történelem legnagyobb hackelése

A Bybit, egy jelentős dubaji kriptotőzsde februári feltörése még a Lazarus csoport - az elmúlt évtized legnagyobb kriptórablásainak többsége mögött álló elit észak-koreai kiberegység - mércéjével mérve is nagy volt.

A hackelésre azután került sor, hogy a Bybit alapítóját rávették, hogy lépjen kapcsolatba egy olyan weboldallal, amelyet a Lazarus kompromittált. A hiba miatt a hackerek hozzáférhettek a Bybit néhány elsődleges Ethereum tárcájához. A tőzsdéről 1,4 milliárd dollár értékű ether (ETH) tokent loptak el.

Az észak-koreai pénzmosók, akik a nagy pénzes kriptopénz-rablások évei után jól begyakoroltak, azonnal elkezdték felosztani a rekordot jelentő zsákmányt egy sor friss kriptotárca között - ez volt az első lépés a piszkos kriptók tiszta pénzzé alakítását célzó bonyolult úton.

"A KNDK fejlett technikai képességeket használ a kriptopénzek tisztára mosására" - magyarázta Andrew Fierman, a Chainalysis nemzetbiztonsági hírszerzésért felelős vezetője. Miután a pénzeszközöket "számos közvetítő pénztárcán keresztül mozgatják", a pénzmosók "láncközi hidakat használnak, hogy a lopott pénzeszközöket különböző különböző eszközökön, például Bitcoinon, Ethereumon, Tronon, Solana és másokon keresztül mozgatják".

A THORChain nélkülözhetetlennek bizonyult az áthidalási szakaszban, közvetítőként szolgált a tokenek blokkláncok közötti cseréjéhez - gyakran többször is, hogy a nyomozókat elterelje a nyomukról.

"A ThorChain létezése előtt nem volt mód arra, hogy Ethereumról Bitcoinra cseréljünk anélkül, hogy lefagyasztották volna" - magyarázta Monahan, a MetaMask biztonsági kutatója.

A központosított swap szolgáltatások - beleértve az olyan kriptotőzsdéket, mint a Coinbase és a Binance - megkövetelik a felhasználóktól, hogy regisztrálják a számlájukat, és kockáztatják, hogy lefoglalják a tiltott pénzeszközöket. A legtöbb decentralizált szolgáltatásnak eközben nincs elég likviditása a Lazarus csoport léptékű tranzakciók támogatásához.

Figyelmeztetés

A Bybit hackelését követő napon a THORChain napi csereforgalma meghaladta az 529 millió dollárt - a DeFiLlama adatai szerint ez volt az eddigi legnagyobb kereskedési nap. A forgalom még napokig emelkedett, több millió dollárnyi díjat generálva a THORChain validátorainak, likviditásszolgáltatóinak és tárcaszolgáltatóinak.

Február 27-én az FBI köröztetett egy listát a KNDK-hoz köthető blokklánccímekről, és felszólította "a magánszektorbeli szervezeteket, beleértve az RPC csomópontok üzemeltetőit, a tőzsdéket, a hidakat, a blokkláncelemző cégeket, a DeFi szolgáltatásokat és más virtuális eszközszolgáltatókat, hogy blokkolják a [velük] folytatott vagy azokból származó tranzakciókat".

Ekkorra már sok más, az észak-koreai pénzmosók által használt kriptoeszköz is elkezdte blokkolni a heist-hez köthető tevékenységet.

A Tether, a legnagyobb stabilcoin-üzemeltető végül 9 millió dollárt fagyasztott be a rabláshoz kapcsolódóan, a Mantle, az Ethereumhoz kapcsolódó layer-2 blokklánc pedig további 41 millió dollárt fagyasztott be. Az egyik platform - az OKX nevű cég által üzemeltetett decentralizált tőzsde - teljesen szüneteltette szolgáltatásait.

Egy pillanatra úgy tűnt, hogy a THORChain is követi ezt a példát. Az FBI értesítésére válaszul a THORChain validátorok egy csoportja összehangoltan leállította az Ethereum-cseréket a protokollon - ez a lépés a tiltott pénzek kiáramlását hivatott lassítani. A szünet azonban csak 30 percig tartott, mielőtt a közösség ellenállását követően visszavonták.

"Nincs bizonyíték, és nem is lehet arra, hogy bármely aláírt és terjesztett tranzakció egy adott földrajzi helyről származik" - mondta Thorbjornsen a CoinDesknek, azzal érvelve, hogy a THORChain és Észak-Korea közötti bármilyen kapcsolat "állítólagos", mivel a hálózat felhasználói nem kényszerülnek arra, hogy regisztrálják magukat.

A THORChain közösség egyes tagjai számára a szüneteltetés visszafordítása töréspontnak bizonyult. "Azonnali hatállyal nem járulok hozzá többé a THORChainhez" - írta a protokoll vezető fejlesztője, akit "Pluto" néven ismernek, egy X-posztban.

Decentralizációs színház?

Thorbjornsen és mások azt állítják, hogy a THORChain-t olyan decentralizált protokollként kellene kezelni, mint a Bitcoint vagy az Ethereumot, amelyek közül egyik sem blokkolta a tranzakciókat a Bybit-rablást követően.

A több mint 100 validátorból - a tranzakciókat ellenőrző számítógépekből - álló közösségre mutatnak rá, mint bizonyíték arra, hogy nem egyetlen entitás irányítja a rendszert.

A THORChain irányítási modellje ezekre a validátorokra támaszkodik, akik a hálózat natív RUNE tokenjét teszik fel, hogy részt vegyenek a konszenzusban és jutalmakat kapjanak. Elméletileg a nagyobb protokolldöntésekhez e validátorok szupertöbbségének jóváhagyására van szükség, ami egy olyan elosztott hatalmi struktúrát hoz létre, amely ellenáll a központi irányításnak.

A kritikusok azonban azt állítják, hogy a hálózat közel sem olyan decentralizált, mint ahogyan azt állítják. Januárban egyetlen fejlesztő szüneteltette a hálózatot egy likviditási válság idején - egy olyan akció, amelyhez a rendszer decentralizáltabb működése esetén a validátorok konszenzusára lett volna szükség.

Amikor a THORChain részt vett korábbi észak-koreai pénzmosási műveletekben, "azt mondták nekünk, hogy semmit sem tudnak tenni a tiltott pénzeszközök ellen" - mondta Monahan. "Egész idő alatt a JP egyetlen magánkulccsal rendelkezett, amely az egész rendszer felett rendelkezett".

Thorbjornsen elismeri, hogy a láncot egy adminisztrációs kulcstartó szüneteltette egy olyan pillanatban, amikor a THORChain "egzisztenciális" fenyegetéssel nézett szembe. Thorbjornsen szerint azonban a szünetet egy "Leena" álnevű kulcstulajdonos kezdeményezte.

Thorbjornsen a THORChain fejlesztésének korai szakaszában hozta létre a Leena-fiókot, és kezdetben arra használta, hogy elrejtse valódi személyazonosságát. Most azt mondja, hogy a Leena-fiókot már nem kizárólag ő irányítja, és valaki más szüneteltette a láncot az elfogadható biztonsági eljárásoknak megfelelően.

Thorbjornsen szerint a vita arról, hogy ki irányította az admin kulcsot, nem a lényegről szól.

"A Bitcoin létezésének első néhány évében könnyen lehetett volna azt állítani, hogy a Bitcoin teljesen centralizált volt" - mondta a CoinDesknek, rámutatva egy 2010-es esetre, amikor Satoshi frissítette az eredeti blokkláncot, hogy kijavítson egy nagyobb hibát.

"A decentralizációt ki kell érdemelni, méghozzá úgy, hogy évekig az arénában vagyunk és bizonyítjuk" - mondta Thorbjornsen. "Mindezek a dolgok, mint a szünet és a szünetmentesítés ... mind a decentralizáció útjának részei".

A szokásos üzletmenet

Március 1-jén, a THORChain legnagyobb kereskedési napján a Bybit-rablást követően a hálózat több mint 1 milliárd dollárnyi swapot regisztrált, többet, mint amennyit általában egy egész hónap alatt feldolgoz.

Ez az aktivitás a THORChain infrastruktúra-szolgáltatóinak - a pénztárcaszolgáltatóknak és a validátoroknak, akik a hálózaton végrehajtott minden tranzakcióból részesedést kapnak - jót tett.

A Chainalysis nevű blokkláncelemző cég szerint a THORChain csomópontok üzemeltetői legalább 12 millió dollárt kerestek a Bybit-rablással kapcsolatos díjakon. A Chainalysis "konzervatívnak" nevezte becslését.

Jogi szakértők szerint ezek a díjak azok, amelyek végül bajba sodorhatják a THORChain üzemeltetőit. Egy korábbi amerikai pénzügyminisztériumi tisztviselő a CoinDesknek adott interjújában arra figyelmeztetett, hogy "sok minden csak azon múlik, hogy ki keres pénzt: Koncentrált emberekről van-e szó, és viszonylag jól felismerhető-e, hogy [a pénzek] rossz szereplőtől származnak?".

A Vultisighez és az Asgardexhez hasonló tárcaalkalmazások különös figyelmet érdemelnek a jogi és biztonsági szakértők részéről, mivel a blokkláncokkal való interakcióra használt "frontend" alkalmazásokat általában centralizáltabbnak tekintik, mint magukat a blokkláncokat.

Az Asgardex, az egyik legnépszerűbb THORChain tárca Monahan szerint 1 millió dollárt keresett Bybithez kapcsolódó tranzakciókból. "Az ok, amiért az Asgardexet használod" más THORChain tárcákkal szemben, "az, hogy nem akarsz nyomon követést - nem akarsz szűrést vagy bármit" - mondta Thorbjornsen, aki segített a program fejlesztésében.

Thorbjornsen azt mondja, hogy már nincs operatív vagy pénzügyi érdekeltsége az Asgardexben, amely nyílt forráskódú, és technikailag a felhasználók által átprogramozható, hogy díjmentesen működjön. Nemrég azonban aktívan népszerűsítette a VultiSig-et, az új, hackelésnek ellenálló THORChain pénztárcáját.

Március 20-án Thorbjornsen egy X-posztban azzal dicsekedett, hogy minden eddiginél többen használják az alkalmazást: "A VultiSig swapok eddig 200 ezer dollár bevételt gyűjtöttek!" ZachXBT, az észak-koreai kiberműveletek felderítéséről ismert kripto nyomozó, válaszul rámutatott, hogy "ennek a bevételnek egy jó része a Bybit hackeléséből származik".

"A Vultisig nem egy lánc" - mondta ZachXBT. "[Ők egy központi felületet üzemeltetnek a felhasználók számára, hogy díj ellenében interakcióba léphessenek a protokollokkal".

Április 16-án a Vultisig elindítja hivatalos kriptotokenjét: VULT. A tokent a tárca néhány leghűségesebb felhasználójának ingyenesen osztják majd szét.

Via: CoinDesk: Bitcoin， Ethereum， Crypto News and Price Data