Mart ayında Ronin köprüsüne düzenlenen 625 milyon dolarlık siber saldırının ardındaki hacker'lar, çaldıkları miktarın büyük çoğunluğunu renBTC ve Bitcoin gizlilik araçları Blender ve ChipMixer ile Ether'den (ETH) Bitcoin'e (BTC) aktardı.

Hacker hesaplarındaki bu hareketlilik, SlowMist için çalışan ve şirketin 2022 Yıl Ortası Blockchain Güvenlik Raporu'na katkıda bulunan zincir üstü araştırmacı ₿liteZero tarafından tespit edildi. Araştırmacı, 23 Mart'ta gerçekleştirilen saldırıdan beri çalıntı fonların izlediği yol haritasına açıklık getirdi.

Çalınan büyük bir kısmı ilk olarak ETH'ye dönüştürüldü ve ABD'nin yeni yaptırım uyguladığı Ethereum kripto karıştırıcısı Tornado Cash'e gönderilerek, sonrasında Bitcoin ağıyla köprü kuruldu ve Ren protokolü yoluyla BTC'ye dönüştürüldü.

Kuzey Kore'de siber suç örgütü Lazarus Group olduğu düşünülen siber saldırganlar, rapora göre ilk olarak 28 Mart'ta yalnızca çaldıkları miktarın bir kısmını, yani 6.249 ETH'yi merkezi borsalara taşıdı. Hacker, Huobi'ye 5.028 ETH, FTX'e ise 1.219 ETH aktardı.

6249 ETH, merkezi borsalardan Bitcoin'e dönüştürülmüş gibi gözüküyor. Siber saldırganlar, sonrasında ise çeviri yayın saati itibarıyla değeri 20,5 milyon doları bulan 439 BTC'yi, yine ABD tarafından yaptırım uygulanan bir diğer Bitcoin gizlilik aracı Blender'a taşıdı. Analistler şöyle açıkladı:

“Cevabı Blender yaptırım adreslerinde buldum. Yaptırım uygulanan Blender adreslerinin çoğu, Ronin hacker'ları tarafından kullanılan Blender yatırma adresleri. Siber saldırganlar, borsalardan paralarını çektikten sonra tüm fonları bu hizmete aktardı.

Saldırganlar, 4 Nisan-19 Mayıs arasında aşama aşama toplamda 175.000 ETH'yi Tornado Cash'e taşıdı.

Hacker'lar, devamındaysa Uniswap ve 1inch gibi merkeziyetsiz borsaları kullanarak yaklaşık 113.000 ETH'yi bir wrapped Bitcoin olan renBTC'ye dönüştürdü. Söz konusu kripto varlıklar, nihayetinde Bitcoin halini aldı.

Bu noktadan sonra ise yaklaşık 6,631 BTC, çeşitli merkezi borsalar ve merkeziyetsiz protokollerle dağıtıldı:

Hacker'ların Bitcoin transferi için kullandığı platformlar. Kaynak: SlowMist.

Rapora göre hacker'lar, ayrıca 22 Ağustos itibarıyla Bitcoin gizlilik aracı ChipMixer ile 2.871 BTC'yi çekti. Bu miktarın değeri yaklaşık 61,6 milyon dolar ediyor.

Siber saldırganların varlıklarını çekmesinin ardından platformlardaki BTC bakiyesi. Kaynak: SlowMist.