Ronin-hackere overførte stjålne midler fra ETH til BTC og brugte sanktionerede mixere

Hackerne bag $625 millioner Ronin-broangreb i marts har siden overført de fleste af deres midler fra ETH til BTC ved hjælp af renBTC og Bitcoin privatlivsværktøjer Blender og ChipMixer.

Hackerens aktivitet har været spores af on-chain investigator '₿liteZero', som arbejder for SlowMist og bidrog til virksomhedens 2022 Mid-Year Blockchain Security-rapport. De skitserede transaktionsvejen for de stjålne midler siden angrebet den 23. marts.

Størstedelen af de stjålne midler blev oprindeligt konverteret til ETH og sendt til den nu sanktionerede Ethereum kryptomixer Tornado Cash, før de blev koblet over til Bitcoin-netværket og konverteret til BTC via Ren-protokollen.

Jeg har sporet de stjålne penge på Ronin Bridge.
Jeg har bemærket, at Ronin-hackere har overført alle deres midler til bitcoin-netværket. De fleste af midlerne er blevet deponeret til mixere (ChipMixer, Blender).
Denne tråd vil illustrere sporingsanalyseprocedurerne. pic.twitter.com/yrazcJ22xF
— ₿liteZero (@blitezero) August 20, 2022

Ifølge rapporten er hackerne, som menes at være Den nordkoreanske cyberkriminalitetsorganisation Lazarus Group, overførte oprindeligt kun en del af fonden (6,249 ETH) til centraliserede børser, herunder Huobi (5,028 ETH) og FTX (1,219 ETH) den 28. marts.

Fra de centraliserede børser så 6249 ETH ud til at være blevet konverteret til BTC. Hackerne overførte derefter 439 BTC ($20.5 millioner) til Bitcoin-privatlivsværktøjet Blender, som også var sanktioneret af det amerikanske finansministerium i maj. 6. Analytikeren skrev:

"Jeg har fundet svaret i Blender-sanktionsadresser. De fleste Blender-sanktionsadresser er Blenders indbetalingsadresser, der bruges af Ronin-hackere. De har indbetalt alle deres tilbagetrækningsmidler til Blender efter at have trukket sig fra børserne."

Imidlertid blev det overvældende flertal af stjålne midler - 175,000 ETH - overført Tornado kontanter trinvist mellem 4. april og 19. maj.

Hackerne brugte efterfølgende decentraliserede børser Uniswap og 1inch til at konvertere omkring 113,000 ETH til renBTC (en indpakket version af BTC), og brugte Rens decentraliserede cross-chain-bro til at overføre aktiverne fra Ethereum til Bitcoin-netværket og pakke renBTC'en ud til BTC.

Derfra blev cirka 6,631 BTC distribueret til en række centraliserede udvekslinger og decentraliserede protokoller:

*Platforme hackerne brugte til at overføre BTC til. Kilde: SlowMist.*

Rapporten anførte også, at Ronin-hackerne trak 2,871 BTC (af de 3,460 BTC) ($61.6 millioner pr. 22. august) tilbage via Bitcoin-privatlivsværktøjet ChipMixer.

*BTC-saldo på platforme efter hackerne trak penge ud. Kilde: SlowMist.*

₿liteZero afsluttede Twitter-tråden med at sige, at Ronin-hacket forbliver et "mysterium, der skal undersøges", og at der skal gøres flere fremskridt.