Хакеры Ronin перевели украденные средства из ETH в BTC и использовали санкционированные микшеры

The hackers behind the $625 million Ronin bridge attack in March have since transferred most of their funds from ETH into BTC using renBTC and Bitcoin privacy tools Blender and ChipMixer.

The hacker’s activity has been tracked by on-chain investigator ‘₿liteZero’, who works for SlowMist and contributed to the company’s 2022 Mid-Year Blockchain Security report. They outlined the transaction pathway of the stolen funds since the Mar. 23 attack.

The majority of the stolen funds were originally converted into ETH and sent to now sanctioned Ethereum crypto mixer Tornado Cash before being bridged over to the Bitcoin network and converted into BTC via the Ren protocol.

Quote.

I’ve been tracking the stolen funds on Ronin Bridge.
I’ve noticed that Ronin hackers have transferred all of their funds to the bitcoin network. Most of the funds have been deposited to mixers(ChipMixer, Blender).

This thread will illustrate the tracking analysis procedures. pic.twitter.com/yrazcJ22xF

— ₿liteZero (@blitezero) August 20, 2022

End of Quote.

According to the report, the hackers, who are believed to be North Korean cybercrime organization Lazarus Group, initially transferred just a portion of the fund (6,249 ETH) to centralized exchanges including Huobi (5,028 ETH) and FTX (1,219 ETH) on Mar. 28.

From the centralized exchanges, the 6249 ETH appeared to have been converted into BTC. The hackers then transferred 439 BTC ($20.5 million) to Bitcoin privacy tool Blender, which was also sanctioned by the U.S. Treasury on May. 6. The analyst wrote:

Quote.

“I’ve found the answer in Blender sanction addresses. Most Blender sanction addresses are Blender’s deposit addresses used by Ronin hackers. Они депонировали все свои выведенные средства в Blender после снятия с бирж».

Однако подавляющая часть похищенных средств — 175 000 ETH — была переведена Tornado Cash поэтапно в период с 4 апреля по 19 мая.

Впоследствии хакеры использовали децентрализованные биржи Uniswap и 1inch для конвертации около 113 000 ETH в renBTC (обернутую версию BTC) и использовали децентрализованный межцепочечный мост Ren для перевода активов из Ethereum в сеть Bitcoin и разворачивания renBTC в BTC.

После этого примерно 6 631 BTC были распределены по различным централизованным биржам и децентрализованным протоколам:

Платформы, на которые хакеры перевели BTC. Источник: SlowMist.

В отчете также говорится, что хакеры Ronin вывели 2 871 BTC (из 3 460 BTC) ($61,6 млн по состоянию на 22 августа) через инструмент конфиденциальности биткоина ChipMixer.

.

Баланс BTC на платформах после вывода средств хакерами. Источник: SlowMist.

₿liteZero завершил тему в Twitter, заявив, что взлом Ronin остается «загадкой, которую предстоит расследовать», и что предстоит добиться большего прогресса.