Посилюється корейський контроль щодо ролі Binance у заморожуванні коштів після хакерської атаки на Upbit

Південнокорейські регулятори та аналітики вивчають реакцію Binance на злам Upbit, шукаючи кращий глобальний захист від швидких крипто-крадіжок.

Binance заморозив лише частину коштів, викрадених під час зламу Upbit

За даними слідчих, лише 17% активів, позначених для заморозки Upbit та поліцією, були фактично заблоковані, повідомили місцеві ЗМІ в п'ятницю. Крім того, аналітики безпеки заявили, що хакерська група виконала складну стратегію відмивання вранці 27 листопада, швидко розподіливши викрадені активи через більш ніж тисячу гаманців.

Зловмисники неодноразово розбивали кошти на менші частини та переміщували їх через кілька блокчейнів. Вони також використовували кросчейн мости та свопи токенів, щоб приховати свій ончейн слід. Однак влада заявила, що більшість відмитих активів зрештою потрапила до сервісних гаманців на Binance, підкреслюючи ключову роль великих централізованих бірж у реагуванні на інциденти.

Upbit та поліція запросили негайну заморозку приблизно 470 мільйонів вон (близько $370,000) у Solana, які підтверджено досягли біржі. Проте Binance заморозив лише 80 мільйонів вон (близько $75,000), заявивши, що потребує додаткової верифікації перед накладанням ширших обмежень на кошти.

Обмежені дії були підтверджені близько опівночі в день інциденту, приблизно через 15 годин після початкового запиту. Коли корейський телеканал KBS запитав про вузький обсяг та затримку заморозки, Binance відмовився надати конкретні відповіді, посилаючись на свою політику щодо активних розслідувань. Компанія лише заявила, що "продовжує співпрацювати з відповідними органами влади та партнерами відповідно до належних процедур", заява, яка залишила багато деталей без відповіді.

Експерти Binance закликають до швидших, скоординованих глобальних механізмів заморозки

Це пояснення не задовольнило кількох експертів у Південній Кореї. Чо Дже-ву, директор Інституту досліджень блокчейну Університету Хансунг, стверджував, що швидке втручання є необхідним для мінімізації втрат користувачів під час атак такого масштабу. Щоб запобігти шкоді від хакерських атак, сказав він, швидка початкова заморозка є життєво важливою, проте біржі часто посилаються на ризики судових позовів як причину для вагань.

Крім того, Чо запропонував, щоб галузь дослідила можливість створення глобальної екстреної гарячої лінії між біржами або координаційного органу, уповноваженого накладати негайні заморозки в кризових ситуаціях. У цьому контексті, він сказав, що більш стандартизована реакція заморозки Binance та подібні протоколи на інших платформах могли б значно обмежити шкоду від майбутніх кросчейн експлойтів.

Слідчі кажуть, що більшість викрадених активів з того часу були конвертовані з Solana в Ethereum. За їхнім аналізом, цей перехід, ймовірно, був спрямований на покращення ліквідності, враховуючи глибші ринки Ethereum та ширшу доступність торгових майданчиків для цього активу.

Інструменти конфіденційності Railgun та відмивання через блокчейни

Ончейн аналітики, які відстежують злам upbit, підкреслили використання Railgun, системи смартконтрактів, орієнтованої на конфіденційність. В одному широко поширеному дописі зазначалося, що "Хакер Upbit відмиває кошти через Railgun і пройшов їхнє 'ZK доведення невинності'" і описав механізм як автоматизовану систему, яка перевіряє, чи належить адреса доброчесному актору, використовуючи кілька постачальників судово-медичних даних.

Однак той самий коментар додав, що користувачі можуть покладатися на оглядач блокчейну Railgun для перевірки адрес, ілюструючи, як інструменти конфіденційності, доведення з нульовим розголошенням та шари відповідності можуть співіснувати складним чином. Тим не менш, інцидент також підкреслює, як відмивання через railgun zk та подібні інструменти можуть ускладнити правозастосування, коли кошти швидко переміщуються між блокчейнами та міксерами.

Дослідники безпеки кажуть, що тактика хакерів, включаючи відмивання через блокчейни, свопи токенів та переходи через мости, зробила своєчасну заморозку ще більш критичною. Крім того, вони стверджують, що без кращої координації між основними біржами, відстеження викрадених коштів Solana після того, як вони потрапляють до центрів високої ліквідності, таких як Binance чи інші майданчики, залишатиметься складним завданням.

Оновлення холодного сховища Upbit після крадіжки 44,5 мільярдів вон

Як повідомлялося раніше, Upbit переміщує майже всі активи клієнтів у холодне сховище після того, як хакери вкрали 44,5 мільярдів вон (близько $30 мільйонів) з його гарячого гаманця Solana. Злам спричинив одну з найсильніших реакцій безпеки з боку великої біржі, при цьому оператор Dunamu прискорив комплексне оновлення системи зберігання.

Dunamu заявив, що платформа підвищить співвідношення холодних гаманців до 99% і зменшить вплив гарячих гаманців до фактично нуля. Крім того, це значно перевищує законодавчу вимогу Південної Кореї, згідно з якою 80% коштів користувачів повинні зберігатися в автономному сховищі, позиціонуючи модель Upbit як одну з найконсервативніших на внутрішньому ринку.

Біржа вже тримала 98,33% активів у холодному сховищі наприкінці жовтня, що є найвищим показником серед місцевих платформ. Однак злам змусив керівництво перейти ще ближче до повністю холодної системи. На практиці це масштабне переміщення до холодного сховища upbit призначене для різкого обмеження кількості криптовалюти, доступної для онлайн-зловмисників у будь-який момент.

Розслідування зламу Upbit, Binance та підозри щодо групи Lazarus

Тим часом південнокорейська влада розпочала офіційне розслідування зламу біржі upbit. Місцеві повідомлення цитували ранні оцінки розвідки, які нібито пов'язують вторгнення з Північнокорейською групою Lazarus, організацією кіберзлочинців, яка вже пов'язана з кількома великими крадіжками криптовалют за останні роки.

Однак офіційні особи ще не оприлюднили остаточних публічних доказів, що підтверджують звинувачення групи lazarus. Слідчі продовжують відстежувати потоки коштів на Solana та Ethereum, включаючи перекази через інструменти конфіденційності, намагаючись побудувати більш повну картину операції та її кінцевих бенефіціарів.

Підсумовуючи, інцидент з Upbit виявив критичні прогалини в глобальній координації бірж, від затриманих заморозок до обмеженого кросчейн моніторингу. Оскільки регулятори, біржі та дослідники вивчають наслідки, зростає тиск щодо створення більш гнучких міжнародних механізмів, які можуть зупинити викрадені кошти за хвилини, а не години, коли відбудеться наступна масштабна криптоатака.