Всі пенсії пропали! Інвестори XRP Гаманець зазнали злому, 300 мільйонів доларів надійшло в Huione для Відмивання грошей

54-річний пенсіонер Брендон ЛаРок виявив, що його гаманець Ellipal XRP містить 1,2 мільйона XRP (вартістю приблизно 3 мільйони доларів) був вкрадений, що є його життєвими заощадженнями, накопиченими з 2017 року. Блокчейн-розслідувач ZachXBT відстежив цю втрату через понад 120 крос-ланцюгових обмінів і виявив, що активи зникли в позабіржовій торгівлі, пов'язаній з Huione.

Пенсія повністю зникла: критична вразливість безпеки гаманця XRP

!

（джерело: Youtube）

Подія відбулася на початку цього місяця, коли Брендон Ларок (Brandon LaRoque) виявив, що 1,2 мільйона XRP з його гаманець Ellipal XRP було вкрадено. Варто зазначити, що ця сума, за поточним курсом, становить 2,88 мільйона доларів, що є усіма заощадженнями цього 54-річного пенсіонера, накопиченими з 2017 року.

Він спочатку вважав, що його капітал у холодному гаманці в безпеці. Однак пізніше LaRoque виявив, що імпорт його семенного фрази в мобільний додаток Ellipal насправді перетворив налаштування на гарячий гаманець. Це фатальне непорозуміння призвело до катастрофічних наслідків.

«Протягом останніх восьми років я накопичував XRP», — розповів Ларок у відео на YouTube про цей випадок крадіжки. «Це еквівалентно всьому нашому пенсійному життю, я не знаю, що робити.» Цей відчайдушний голос не є рідкістю в справах крадіжки гаманців XRP.

Справа Ellipal знову викликала суперечки щодо безпеки самостійного зберігання. Жертви плутали холодний гаманець Ellipal з гарячим гаманцем на основі додатка, що відображає проблеми з нечітким дизайном XRP гаманця та браком освіти для користувачів. Холодний гаманець повинен бути повністю офлайн, приватний ключ ніколи не повинен контактувати з мережею. Однак, коли користувач вводить сієчну фразу в мобільному додатку, приватний ключ піддається ризику в мережевому середовищі, по суті стаючи гарячим гаманцем.

Ця розмитість в дизайні є поширеною проблемою багатьох XRP Гаманців. Користувачі часто помилково вважають, що якщо вони використовують апаратний гаманець або «холодний гаманець», про який заявляє бренд, їхні кошти абсолютно в безпеці. Насправді, будь-яка помилка в процесі роботи може зруйнувати безпеку. Чи достатньо Ellipal попереджає про цей ризик в інтерфейсі користувача та документації, викликає сумніви.

Huione мережа відмивання грошей: 150 мільярдів доларів чорний канал

Розслідування ZachXBT виявило, що зловмисники обміняли вкрадені XRP через 120 транзакцій моста Ripple-to-Tron. Вони використали Bridgers (раніше відомий як SWFT), а потім об'єднали кошти на Tron. Протягом трьох днів ці активи зникли в позабіржовій торгівлі, пов'язаній з Huione.

Міністерство фінансів США нещодавно запровадило санкції проти цієї південно-східної азійської платіжної мережі, оскільки компанія здійснювала відмивання грошей через шахрайство, торгівлю людьми та кіберзлочинність, зокрема, пов'язане з Huione, на суму десятки мільярдів доларів. Ця справа пов'язує крадіжку гаманця XRP з мережею Huione, виявляючи ключову слабкість глобального правозастосування. Влада США заявила, що відмивання грошей через Huione сприяло незаконним переказам на суму понад 15 мільярдів доларів.

Операційна модель мережі Huione для відмивання грошей є надзвичайно прихованою. Як на перший погляд легальний постачальник послуг з платежів та обміну валют, Huione працює в кількох країнах Південно-Східної Азії, надаючи злочинцям можливість обмінювати криптовалюту на фіатні гроші. Оскільки регулювання в цих країнах є відносно м'яким, а координація правоохоронних органів ускладнена, Huione змогла тривалий час уникати санкцій.

Недоліком є те, що навіть якщо шлях блокчейну є відкритим, перервати канали відмивання грошей через юрисдикції все ще важко. ZachXBT змогла відстежити потоки коштів до Huione, але не змогла зупинити їх обмін та зникнення. Ця правозастосовча вакуумна зона є основною причиною поширення злочинності у криптовалюті.

Huione три кроки процесу відмивання грошей:

Перший крок: крос-ланцюгова зміна: шляхом 120 мостових угод перетворити XRP на Tron, змусити джерело коштів стати неясним

Другий крок: Інтеграція переказу: об'єднання невеликих коштів у великі, переказ на нову адресу в мережі Tron

Третій крок: Позабіржова торгівля: обмін на фіатні гроші через позабіржовий торговий стіл, прив'язаний до Huione, повністю зник.

95% Відновлювальна компанія є грабіжником: індустрія вторинного шахрайства

Хоча правоохоронним органам часто важко швидко реагувати, ZachXBT зазначив, що економіка відновлюється, використовуючи відчай жертв. Він написав: «Інший урок полягає в тому, що понад 95% компаній з повернення коштів є хижацькими, вони лише надають базові звіти та стягують великі збори, але рідко надають дієві рекомендації.»

Він додав, що багато таких компаній покладаються на оптимізацію пошукових систем і цільову рекламу в соціальних мережах, щоб залучити жертв крадіжок XRP Гаманців. Вони зазвичай лише надають поверхневі звіти про Блокчейн або кажуть клієнтам «зв'яжіться з біржею». Фактична цінність таких послуг надзвичайно низька, але плата за них дуже висока, часто вимагаючи від жертв сплачувати десятки тисяч доларів авансової плати або великі частки після успішного повернення.

Цей механізм другого рівня перетворив багато цінних хакерських атак на багатоетапні злочини. Спочатку атаки здійснює сам хакер, а потім з'являються фальшиві оператори відшкодування, які обіцяють повернути кошти, які насправді вже зникли. Для жертв, таких як LaRoque, які втратили 3 мільйони доларів, ці фальшиві обіцянки відновлювальних компаній є як додатковою проблемою.

ZachXBT натякнув, що справжня трагедія полягає в тому, що наступна хвиля втрат може походити не від хакерів, а від тих, хто стверджує, що допомагає повернути кошти. Коли жертви в безвиході шукають допомоги, ці хижі компанії використовують їхні надії та безпорадність, витискаючи останню цінність.

XRP Гаманець безпеки уроки: Летальне непорозуміння холодного та гарячого гаманця

Окрім слідів відмивання грошей та відновлення шахрайства компанії, справа Ellipal знову викликала суперечки щодо безпеки самостійного зберігання XRP гаманців. Жертви плутали холодний гаманець Ellipal з гарячим гаманцем на основі додатка, що відображає проблеми незрозумілого дизайну гаманців та відсутності навчання користувачів.

Основна різниця між холодними та гарячими гаманцями полягає в тому, чи контактує приватний ключ з мережею. Справжній приватний ключ холодного гаманця ніколи не контактує з жодним підключеним до мережі пристроєм, всі підписи транзакцій виконуються в офлайн-середовищі. На відміну від цього, приватний ключ гарячого гаманця зберігається на підключеному до мережі пристрої, що забезпечує зручність використання, але безпека є нижчою.

Помилка LaRoque полягала в тому, що він ввів насіннєву фразу в мобільний додаток. Навіть якщо апаратний пристрій Ellipal є холодним гаманцем, як тільки насіннєва фраза вводиться в онлайн-додаток, безпека всього XRP гаманця знижується до рівня гарячого гаманця. Ця помилка операції може бути наслідком неправильного розуміння принципів роботи гаманця, або користувацький інтерфейс Ellipal не попереджає про ризики такої операції.

Через відсутність у правоохоронних органів можливостей для боротьби з злочинами, пов'язаними з криптовалютою, надії на повернення 3 мільйонів доларів LaRoque є примарними. Зростаюча активність транснаціональних мереж відмивання грошей, таких як Huione, ускладнює повернення коштів. Навіть якщо ZachXBT зможе відстежити рух коштів, прозорість блокчейну втрачає свою дію, коли кошти потрапляють у мережу Huione та обмінюються на фіат.