Усиливается корейский контроль над ролью Binance в заморозке средств после взлома Upbit

Южнокорейские регуляторы и аналитики изучают реакцию Binance на взлом Upbit в поисках лучших глобальных мер защиты от быстро развивающихся краж криптовалют.

Binance заморозил лишь часть средств, украденных при взломе Upbit

По данным следователей, только 17% активов, помеченных для заморозки Upbit и полицией, были фактически заблокированы, сообщили местные СМИ в пятницу. Более того, аналитики безопасности заявили, что хакерская группа реализовала сложную стратегию отмывания утром 27 ноября, быстро распределив украденные активы по более чем тысяче кошельков.

Злоумышленники неоднократно разбивали средства на более мелкие части и перемещали их через несколько цепочек. Они также использовали кроссчейн-мосты и своп токенов, чтобы скрыть свой след в цепочке. Однако власти заявили, что большая часть отмытых активов в конечном итоге оказалась в сервисных кошельках на Binance, подчеркивая ключевую роль крупных централизованных бирж в реагировании на инциденты.

Upbit и полиция запросили немедленную заморозку примерно 470 миллионов вон (около 370 000 $) в Solana, которые, как подтверждено, достигли биржи. При этом Binance заморозил только 80 миллионов вон (около 75 000 $), заявив, что требуется дополнительная проверка перед введением более широких ограничений на средства.

Ограниченные действия были подтверждены около полуночи в день инцидента, примерно через 15 часов после первоначального запроса. Когда корейский вещатель KBS задал вопрос об узком охвате и задержке заморозки, Binance отказался обсуждать детали, ссылаясь на свою политику в отношении активных расследований. Компания лишь заявила, что "продолжает сотрудничать с соответствующими органами и партнерами в соответствии с надлежащими процедурами", заявление, которое оставило многие детали без ответа.

Эксперты Binance призывают к более быстрым, скоординированным глобальным механизмам заморозки

Это объяснение не удовлетворило нескольких экспертов в Южной Корее. Чо Дже-ву, директор Института исследований блокчейна Университета Хансунг, утверждал, что быстрое вмешательство необходимо для минимизации потерь пользователей при атаках такого масштаба. Чтобы предотвратить ущерб от взлома, сказал он, быстрая первоначальная заморозка жизненно важна, однако биржи часто ссылаются на риски судебных разбирательств как на причину для колебаний.

Более того, Чо предложил, чтобы отрасль изучила возможность создания глобальной экстренной горячей линии между биржами или координирующего органа, уполномоченного вводить немедленную заморозку в кризисных ситуациях. В этом контексте, по его словам, более стандартизированная реакция заморозки Binance и аналогичные протоколы на других платформах могли бы значительно ограничить ущерб от будущих кросс-чейн эксплойтов.

Следователи говорят, что большая часть украденных активов с тех пор была конвертирована из Solana в Ethereum. Согласно их анализу, этот сдвиг, вероятно, был направлен на улучшение ликвидности, учитывая более глубокие рынки Ethereum и более широкую доступность торговых площадок для этого актива.

Инструменты конфиденциальности Railgun и отмывание через цепочки

Аналитики он-чейн обработки, отслеживающие взлом Upbit, подчеркнули использование Railgun, системы смарт-контрактов, ориентированной на конфиденциальность. В одном широко распространенном посте отмечалось, что "Хакер Upbit отмывает средства через Railgun и прошел их 'ZK доказательство невиновности'" и описывал механизм как автоматизированную систему, которая проверяет, принадлежит ли адрес добросовестному участнику, используя несколько поставщиков судебно-медицинских данных.

Однако тот же комментарий добавил, что пользователи могут полагаться на проводник Railgun для проверки адресов, иллюстрируя, как инструменты конфиденциальности, доказательства с нулевым разглашением и уровни соответствия могут сосуществовать сложным образом. Тем не менее, инцидент также подчеркивает, как отмывание railgun zk и подобные инструменты могут усложнить правоприменение, когда средства быстро перемещаются между цепочками и миксерами.

Исследователи безопасности говорят, что тактика хакеров, включая отмывание через цепочки, своп токенов и переходы через мосты, сделала своевременную заморозку еще более критичной. Более того, они утверждают, что без лучшей координации между крупными биржами отслеживание украденных средств Solana после того, как они попадают в хабы с высокой ликвидностью, такие как Binance или другие площадки, останется сложной задачей.

Модернизация холодного хранения Upbit после кражи 44,5 миллиардов вон

Как сообщалось ранее, Upbit переводит почти все активы клиентов в холодное хранение после того, как хакеры украли 44,5 миллиарда вон (около 30 миллионов $) из его горячего кошелька Solana. Взлом вызвал одну из самых сильных реакций безопасности со стороны крупной биржи, при этом оператор Dunamu ускорил комплексную модернизацию хранения.

Dunamu заявил, что платформа повысит соотношение холодных кошельков до 99% и снизит воздействие горячих кошельков практически до нуля. Более того, это выходит далеко за рамки законодательного требования Южной Кореи, согласно которому 80% средств пользователей должны храниться в автономном режиме, позиционируя модель Upbit как одну из самых консервативных на внутреннем рынке.

Биржа уже хранила 98,33% активов в холодном хранении в конце октября, что является самым высоким показателем среди местных платформ. Однако взлом подтолкнул руководство к еще большему приближению к полностью холодной системе. На практике это крупное перемещение в холодное хранение Upbit предназначено для резкого ограничения количества криптовалюты, доступной для онлайн-злоумышленников в любой момент времени.

Расследования взлома Upbit, Binance и подозрения в отношении группы Lazarus

Тем временем южнокорейские власти начали официальное расследование взлома биржи Upbit. Местные сообщения ссылались на ранние оценки разведки, которые якобы связывают вторжение с Lazarus Group из Северной Кореи, организацией киберпреступников, уже связанной с несколькими крупными кражами криптовалют в последние годы.

Однако официальные лица еще не опубликовали окончательных публичных доказательств, подтверждающих обвинения в адрес группы Lazarus. Следователи продолжают отслеживать потоки средств на Solana и Ethereum, включая переводы через инструменты конфиденциальности, пытаясь создать более полную картину операции и ее конечных бенефициаров.

В итоге, инцидент с Upbit выявил критические пробелы в глобальной координации бирж, от задержек заморозки до ограниченного мониторинга между цепочками. По мере того как регуляторы, биржи и исследователи изучают последствия, растет давление в пользу более гибких международных механизмов, которые могут остановить украденные средства за минуты, а не часы, когда произойдет следующая крупномасштабная криптоатака.