" Когда-то eXch была популярным обменником для хакеров и «сливщиков». В апреле немецкая полиция закрыла его, но продолжающаяся активность говорит о том, что история на этом не закончилась.
eXch, где не действовало правило «Знай своего клиента» (KYC), не была обычной криптовалютной биржей и в течение многих лет позволяла злоумышленникам и киберпреступникам оставаться незамеченными.
Среди клиентов eXch была Lazarus Group. Хакерское подразделение, поддерживаемое северокорейским государством, еще в феврале привлекло внимание к eXch, использовав платформу для вывода части из 1,4 миллиарда долларов, украденных у Bybit. Когда Bybit отследила украденные средства до eXch, она обратилась за помощью, но платформа в ней отказала.
Это привело к ожесточенной дискуссии о соотношении конфиденциальности и безопасности, но в конечном итоге eXch объявила, что 17 апреля закроется, и 30 апреля власти Германии официально объявили об этом.
Однако, по данным охранной фирмы TRM Labs, платформа, возможно, продолжала работать в скрытом режиме и после взлома Bybit. Вот хронология взлета, падения и последующей жизни платформы для отмывания денег eXch.
eXch запирает входную дверь, оставляя открытым черный ход
Как сообщает TRM, наряду с объявлением о закрытии eXch разместила сообщение, в котором утверждалось, что это не будет способствовать получению преступных доходов. Сообщение было удалено в течение нескольких часов, и операции спокойно возобновились.
Рисунок 1. Финансовые потоки, связанные с CSAM, прослеживаются до eXch. Источник: TRM Labs.
Немецкие власти арестовали серверы eXch и конфисковали 34 миллиона евро (38 миллионов долларов) в криптовалюте, а также более восьми терабайт данных, фактически уничтожив общедоступную инфраструктуру.
«Как и в случае с ребрендингом Garantex на Grinex, eXch не полностью прекратила свою деятельность после закрытия. Она спокойно продолжал обслуживать горстку партнеров через API. Это означало, что отмывание денег продолжалось даже после публичного закрытия, - сказал Джереми О'Коннор, соучредитель и технический директор охранной фирмы Trugard. - Не исключено, что такие платформы будут обслуживать постоянных клиентов даже после конфискации».
Рисунок 2. Сайт EXch был посещен 13 мая. Источник: eXch.
«Люди, стоящие за eXch.ch в полной мере воспользовались преимуществами работы в нескольких странах. Домен был зарегистрирован через британского провайдера, в качестве места администрирования была указана Швейцария, инфраструктура размещалась во Франции, а серверы были изъяты в Германии», - сказал О'Коннор.
До сих пор неясно, удалит ли eXch свой API или вернется под новым именем. В сообщении в блоге от 2 мая TRM сообщила, что оставшийся серверный доступ к платформе продолжает обеспечивать инфраструктуру анонимизации.
Без KYC объединенная ликвидность привлекает незаконные средства в eXch.
По словам «Fantasy», ведущего исследователя криптовалютной страховой компании Fairside Network, EXch начала работу в 2014 году. В ходе расследования, проведенного в октябре 2024 года, Fantasy определила первое публичное появление платформы как аккаунт на форуме BitcoinTalk, который рекламирует автоматические обмены между биткоинами, Perfect Money и ваучерами BTC-e - способами оплаты, которые обычно ассоциируются с транзакциями с высоким уровнем риска.
Fantasy также отследила оригинальный биткоин-кошелек, привязанный к eXch, и обнаружила, что он, вероятно, финансировался через BTC-e, ныне несуществующую биржу криптовалют, которая в 2017 году была закрыта властями США за ее роль в отмывании преступных доходов.
Криминалистическое исследование Fantasy показало, что модернизированная форма eXch появилась в 2022 году, когда впервые был запущен ее Ethereum-кошелек. Вскоре после этого он стал центром притяжения для известных крипто-трейдеров.
Monkey Drainer - первый известный крупномасштабный оператор по предоставлению услуг слива - использовал eXch. Наряду с несколькими крупными потребителями, другие поставщики услуг слива, такие как Pink Drainer и Inferno Drainer, также переводили средства через эту платформу.
Рисунок 3. Современные кошельки EXch были привязаны к счетам в Binance и OKX. Источник: Fantasy/MetaSleuth.
EXch не требует проверки личности, что позволяет пользователям анонимно переводить средства. Это сделало его привлекательным инструментом для киберпреступников, которые стремятся отмыть украденные активы.
«Несмотря на содействие очевидной незаконной деятельности, EXch удавалось оставаться активным в течение многих лет, ведь по-прежнему существует большой разрыв между тем, что могут сделать регулирующие органы, и тем, насколько быстро развиваются технологии, - сказал бывший следователь Binance Амит Левин. - В современном мире любой может запустить смарт-контракт или сервис криптовалют из любого места, часто не раскрывая, кто он такой. А если нет регистрации, KYC и некого привлечь к ответственности, правоприменение становится практически невозможным».
Платформа также завоевала доверие злоумышленников благодаря использованию системы ликвидности, которая объединяла депозиты и снятие средств пользователями, что затрудняло следователям и правоохранительным органам отслеживание движения средств.
eXch знала о нарушениях и ничего не предпринимала
EXch отрицала факт отмывания средств северокорейскими хакерами, а в своем уведомлении о закрытии представила проект как попытку энтузиастов конфиденциальности «восстановить баланс» в отрасли. В нем критиковались меры по борьбе с отмыванием денег, а компании, которые предлагают API для оценки адресов рисков, назывались «паразитами», наживающимися на страхе правительства.
«Поставщики услуг в криптовалютном пространстве, по большей части, не децентрализованы; то есть они сохраняют контроль над активами клиентов или доступ к ним, как было продемонстрировано в случае с eXch, - сказала Гал Арад Коэн, партнер S. Horowitz & Co. - Финансовый посредник, работающий в секторе криптовалют, сталкивается с рисками, аналогичными рискам традиционных поставщиков финансовых услуг, и поэтому должен соответствовать эквивалентным стандартам и нормативным требованиям».
По словам Алекса Каца, генерального директора охранной фирмы Kerberus, закрытие eXch - это огромная победа для криптовалют. Однако Кац предупредил, что плохие игроки могут перейти в такие альтернативные проекты, как THORChain, которые получили критику в непримиримом прощальном манифесте eXch.
Во время взлома Bybit децентрализованный протокол обмена THORChain использовался в качестве основного моста для обмена около 500 000 Ethereum на Bitcoin.
Рисунок 4. Операторы EXch также использовали THORChain, чтобы запутать маршруты. Источник: Tanuki42.
EXch заявила, что ее партнеры сохранят доступ к ее API в течение ограниченного времени, но будущие операции будут зависеть от «новой управленческой команды». Для обеспечения бесперебойной работы старая команда рекомендовала создать новые пулы ликвидности и заявила, что предоставит консультации.
EXch завершила работу вызывающим сообщением:
«Конфиденциальность - это не преступление».
Власти Германии сообщили, что с момента создания eXch на платформу поступило 1,9 миллиарда долларов в криптовалюте. Операторы eXch подозреваются в коммерческом отмывании денег и использовании преступной торговой платформы.
