Хакер Upbit отмывает деньги через Railgun, передавая доказательства невиновности миксера

Хакер Upbit, возможно, использовал Railgun для смешивания средств. Несмотря на проверки миксера, адреса хакеров не были помечены, и транзакции были продолжены. 

Анализ ончейн показал, что адреса, связанные со взломом Upbit, использовали миксер Railgun. Миксер выполняет проверку с нулевым разглашением происхождения средств. Однако на этот раз проверка не предотвратила смешивание  средств .

Взлом Upbit привёл к краже более $36 млн, включая Solana . Многоцепочечная атака привела к мгновенным обменам и перемещению средств между кошельками. 

Хакер практически мгновенно продал большую часть активов, особенно Solana. Специалист по анализу блокчейна @dethective отметил, что продажа повлияла на объемы децентрализованного рынка. На следующий день после взлома кошельки злоумышленника обменяли Solana на SOL. После этого SOL были обменяны на USDC, а стейблкоины были переведены в Ethereum для смешивания. 

В общей сложности, после уплаты комиссий, хакер завладел более чем 533 ETH на сумму около $1,6 млн. Переход на Ethereum и последующее смешивание — это типичная схема, которую обычно приписывают северокорейским хакерам. 

Компания Upbit также добавила новую информацию о взломе. Согласно заявлению биржи, причиной взлома могла стать уязвимость во внутренней системе биржи, которая уже исправлена. Upbit заявила, что хакер мог получить закрытые ключи из общедоступных горячих кошельков из-за предсказуемого хеширования ключей и слабой криптографии.

У Railgun не было последней информации о кошельках хакеров

Подход Railgun заключается в проверке кошельков каждого пользователя по постоянно обновляемым базам данных злоумышленников. В данном случае полный список адресов хакера был очень актуальным. Кроме того, эксплойт включал в себя множество прямых обменов на DEX-децентрализованных биржах, и часть средств была переведена на новые кошельки. Таким образом, данные, доступные Railgun, были устаревшими, и последний кошелек хакера прошел проверку. 

Последний перехваченный кошелек отмыл в общей сложности 410 ETH. Новый адрес был создан всего через несколько часов после взлома и ненадолго использовался в качестве промежуточного. Быстрая смена кошельков также позволила обойти фильтры Railgun.  

Рельсотрон используется для DeFi активности

Railgun приобрел популярность в связи с недавним возрождением темы конфиденциальности. Railgun увеличил свой пул активов, заблокировав его на 95 млн долларов США по состоянию на ноябрь 2025 года. Рост стоимости свидетельствует о растущем интересе, поскольку миксер получил комиссию в размере 1,31 млн долларов США за третий квартал. 

Использование миксеров выросло за последний год. Tornado Cash, ранее демонстрирувший лишь базовую активность, увеличил свою стоимость, достигнув нового пика. Миксер содержит более 32 тысяч ETH после нескольких громких атак. 

За последние три месяца собственный токен RAIL также вырос более чем на 200%, торгуясь по $3,26. Railgun отразил успех ZCash и других токенов конфиденциальности, а также получил поддержку со стороны Виталика Бутерина. 

Railgun — не инструмент для хакеров и злоумышленников. Он, скорее, служит универсальным инструментом обеспечения конфиденциальности для обычных транзакций. Криптовалютные инфлюенсеры и известные личности стремятся к конфиденциальности, поскольку даже данные о транзакциях могут привести к tracили даже к колебаниям цен. 

Однако использование Railgun также можно trac. Кроме того, хакерские адреса могут использовать инструменты для проверки того, какие кошельки будут отмечены Railgun. Это позволит хакерам продолжать скрывать доходы от эксплойтов, большинство из которых невозможноtrac.