" Компания Crystal Blockchain говорит, что обнаружила адрес биткоина, который хакеры DarkSide использовали для сбора выкупа с Colonial Pipeline.
В отличие от традиционных финансов, с публичными блокчейнами каждая транзакция оставляет след. Это обеспечивает редкую видимость денежных движений киберпреступного мира. На прошлой неделе Colonial Pipeline приостановила свою деятельность на шесть дней, что вызвало кризис нехватки газа на юго-востоке США, после того, как хакеры подвергли ее кибератаке, шифруя данные компании. 8 мая Colonial Pipeline согласилась заплатить 75 BTC (или около 5 миллионов долларов) злоумышленникам и вскоре после этого смогла возобновить работу.
Фирма Blockchain Analytics Elliptic заявила в посте в блоге на прошлой неделе, что она определила адреса кошельков DarkSide, но не раскрыла сами адреса. По словам Crystal Blockchain, дочерней компании Bitfury, поставщика услуг безопасности и инфраструктуры блокчейна Bitcoin, адрес, который получил выкуп, bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.
Было несколько фактов, которые предполагали, что именно этот адрес был связан с сбором выкупа, сказал Кирилл Чыхрадзе, директор по продуктам Crystal Blockchain.
"Мы нашли транзакции в блокчейне, зная день транзакции и отправленную сумму", - сказал Чыхрадзе. «Мы проанализировали каждый потенциальный кластер (адресов) и нашли дополнительные доказательства в одном из них: транзакция в размере 4,4 млн. долл. США или 78 BTC, отправленная Brenntag», химической дистрибьюторской компанией.
Brenntag, еще одна жертва DarkSide, заплатил выкуп 11 мая, сообщает Bleeping Computer. Elliptic также упомянул эту транзакцию в качестве дополнительного доказательства, указывающего на адреса биткоинов, связанные с хакерами. Еще одно доказательство, на которое указали как Elliptic, так и Crystal: кластер адресов, связанных с хакерами, отправил свою последнюю транзакцию в прошлый четверг - день, когда DarkSide, как сообщается, был конфискован своими серверами неопределенными властями.
Биткоин-кошельки состоят из кластеров адресов, ключи которых управляются конкретным программным обеспечением. Фирмы по блокчейн-аналитике объединяют отдельные адреса на блокчейне в кластеры и связывают их с определенными сущностями, используя конкретные эмпирические правила. Наиболее важным является кластеризация входных данных транзакций, которые расходуются вместе.
Согласно данным инструмента блокчейн-аналитики Crystal, кластер DarkSide включал 30 адресов, которые вместе получили 321,5 BTC с момента первой транзакции 4 марта. Все эти средства в конечном итоге покинули кластер, причем наибольшая сумма была отправлена на криптобиржу Binance (более 53,3 BTC, или 16% всех фондов).
Вторым по величине получателем средств является рынок Hydra darknet, который получил более 14,6 BTC от кошельков DarkSide, или 4,5% своих средств. Согласно Chainalysis, Hydra является крупнейшим в мире рынком незаконных наркотиков, работающим в основном в Восточной Европе. На сайте также представлены другие незаконные товары, включая поддельные документы, удостоверяющие личность, фальшивые банкноты, а также физические наличные деньги в обмен на биткоин.
Другими получателями фондов DarkSide являются малоизвестные биржи под названием Ren, Zillion Bits, а также централизованная биржа Poloniex в США и эстонская Garantex. Меньшие суммы также были отправлены на другие известные крупные биржи и одноранговые крипторынки, включая Coinbase, Huobi, OKEx, Paxful и LocalBitcoins.
Относительно небольшая сумма, менее половины BTC, оказалась в кошельке Wasabi, ориентированном на конфиденциальность. Последняя отправленная кластером транзакция произошла 13 мая, когда 107 BTC было отправлено на один неизвестный адрес, который был активен только один день и получил три входящие транзакции. 107 BTC, стоимостью более 4,5 миллионов долларов в понедельник, остается по этому адресу. Неясно, кто контролирует адрес.
