Хакер-балансировщик отмыл 2000 ETH через Tornado Cash

Эксплойт Balancer получил новое развитие. Злоумышленник, стоящий за взломом на $117 млн, начал отмывать крупные объемы украденного Ethereum через Tornado Cash. Наблюдатели блокчейна зафиксировали новую волну активности 15 ноября. Она показала, что хакер Balancer направил 2 000 ETH — около $6,36 млн — в протокол анонимности всего за час. Этот шаг говорит о том, что злоумышленник окончательно отказался от попыток договориться о возврате средств в «белой шляпе».

Хакер конвертирует украденные токены и переходит к отмыванию

За последние несколько дней хакер Balancer последовательно обменивал LST-токены на базе ETH и другие не-ETH активы на чистый ETH. Этот этап конвертации стал ключевым изменением поведения. Он показал, что злоумышленник готовится к обналичиванию, а не к общению с Balancer или переговорам о компенсации.

По данным мониторинговых аккаунтов, почти все украденные токены уже консолидированы в ETH. Ранее сообщалось, что хакер Balancer контролирует около 25 300 ETH, почти на $92 млн. По мере накопления этих конвертаций наблюдатели ожидали начала фазы отмывания — и теперь этот момент наступил.

Хакер использовал Tornado Cash партиями по 100 ETH за транзакцию. В сети зафиксированы десятки последовательных депозитов. Маршрутизатор Tornado Cash буквально заполнился новыми поступлениями. Каждая транзакция сопровождалась небольшими комиссиями за газ, что указывает на тщательно продуманную схему распределения для снижения отслеживаемости. После смешивания средств в Tornado вернуть их становится крайне сложно.

Более 5 000 ETH всё ещё остаются в кошельках после уже отмытых сумм

Даже с учетом 2 000 ETH, прошедших через Tornado Cash, кошелек под меткой «Balancer Exploiter 7» всё ещё держит более 1 700 ETH. Ранее в него поступали средства с других связанных кошельков эксплойта. Это указывает на координированное распределение активов между несколькими адресами, находящимися под контролем хакера.

Такая многоадресная структура типична для крупных взломов. Она помогает злоумышленникам снижать риски и усложнять отслеживание. Кроме того, другие связанные с эксплойтом адреса остаются активными, перекидывая ETH между собой перед отправкой новых партий в Tornado Cash. Эти действия говорят о том, что процесс отмывания может продолжиться в ближайшие часы и дни.

Stakewise вернул часть средств, но ущерб остается значительным

В начале месяца Stakewise удалось через вызов контракта вернуть 5 041 osETH — почти на $19,3 млн — у злоумышленника. Этот частичный успех сократил объем украденных хакером Balancer средств с $117 млн до примерно $98 млн. Тем не менее более половины активов уже конвертированы в ETH. Нарастающая активность по отмыванию показывает, что злоумышленник не заинтересован ни в баунти, ни в соглашениях о возврате — в отличие от ряда других крупных инцидентов, где хакеры шли на переговоры.

Сообщество наблюдает, пока Tornado Cash становится финальной точкой

Поскольку злоумышленник активно отмывает ETH через Tornado Cash, криптосообщество считает, что наступает финальная фаза эксплойта Balancer. После рассредоточения ETH след фактически исчезает. У Balancer и пострадавших пользователей остается мало возможностей для восстановления. Следователи продолжат отслеживать движения, но сейчас хакер Balancer, похоже, настроен уйти с прибылью — по 100 ETH за транзакцию.