Truebit-хакери завершили відмивання 26,36 мільйонів доларів США, Tornado Cash знову став інструментом для відмивання коштів

Безпека Truebit входить в нову фазу. 11 січня хакери завершили відмивання 8535 викрадених ETH (вартістю близько 26,36 млн дол. США) через сервіс змішування Tornado Cash, що означає значне ускладнення відстеження потоку коштів. Від атаки на протокол 9 січня, через передачу коштів 10 січня, до завершення змішування сьогодні весь процес займав менше 48 годин.

Маршрут “втечі” хакерів

Часова шкала подій

На основі публічної інформації логіка виконання цієї атаки була ясна та ефективна:

Роль Tornado Cash

Tornado Cash — найвідоміший сервіс приватного змішування в екосистемі Ethereum. Хакери вибрали його для обробки викрадених коштів з простої причини:

• Розірвання ланцюгової відстежуваності: Хоча транзакції блокчейну є публічно прозорими, Tornado Cash через смарт-контракти змішує кошти кількох користувачів, що робить неможливим відповідність адрес внеску та вилучення
• Приховування великих транзакцій: Велика сума викрадених 26,36 млн дол. США, після змішування розпорошується на кілька невеликих виводів, що ще більше знижує ризик виявлення
• Часова перевага: Хакери дійшли до змішування менш ніж за 48 годин, випередивши розгортання додаткових захисних заходів

Реакція ринку та подвійний удар

Ця подія мала руйнівний вплив на екосистему Truebit. Згідно з останніми даними, токен TRU впав з 0,16 дол. США майже до нуля, з падінням понад 99,95%. Це не лише відображає серйозність самої проблеми безпеки, а й розкриває кілька проблем:

• Крах довіри інвесторів: Екстремальне падіння ціни токена показує, що ринок повністю змінив оцінку перспектив проекту
• Висушування ліквідності: Доходи від комісій Uniswap в день досягли 1,4 млн дол. США, з яких TRU склав приблизно 1,3 млн дол. США, що свідчить про масовий розпродаж інвесторів
• Ризики екосистеми: Застосунки та користувачі, які залежать від Truebit, можуть постати перед ризиком, що додатково підриває довіру до всієї екосистеми

Дилеми правоохоронців та регуляторів

Складність відстеження значно зросла

Команда Truebit заявила, що звернулася до правоохоронних органів, але реальність така — після завершення змішування пошук коштів через традиційний аналіз блокчейну стає надзвичайно складним. Правоохоронці стикаються з викликами:

• Сам дизайн Tornado Cash призначений для уникнення відстеження
• Змішані кошти можна розпорошити на кілька адрес, що ще більше розсіює ризик
• Хакери можуть у будь-який час вилучити кошти з сервісу змішування та перевести їх на будь-яку біржу або гаманець

Суперечність між інструментами приватності та регулюванням

Ця подія знову загострила давню суперечку: законність інструментів приватності. Сам Tornado Cash — це легітимний децентралізований додаток, але його часто використовують для відмивання коштів. США раніше накладали санкції на Tornado Cash, але це не зупинило хакерів від його використання. Це показує:

• Ефективність санкцій самих по собі обмежена
• Існує фундаментальна суперечність між захистом приватності та регулюванням протидіяння відмиванню коштів
• Потрібно більше технологічних та політичних інновацій, щоб збалансувати обидві сторони

Висновок

Завершення відмивання коштів хакерами Truebit позначає перехід події з етапу “чи можна вернути кошти” до етапу “майже неможливо вернути кошти”. Це не лише смертельний удар для проекту Truebit, але й очередне свідчення ефективності інструментів приватного змішування в приховуванні потоків коштів. Для інвесторів це — попередження: навіть перспективні проекти інфраструктури можуть розпасться через одну вразливість смарт-контракту. Для всієї галузі питання про те, як знайти баланс між захистом приватності та запобіганням злочинам, залишається невирішеним.