Jak ten milioner-haker kryptowalutowy nadal swobodnie wypłaca środki rok później

31 października 2025 roku osoba odpowiedzialna za exploit Radiant przetransferowała około 5 411,8 ETH do Tornado Cash, co odpowiadało wartości około 20,7 milionów dolarów.

Dziewięć dni wcześniej ten sam klaster przesunął około 2 834,6 ETH, czyli równowartość 10,8 milionów dolarów, po wcześniejszym przemieszczeniu środków między łańcuchami i poprzez swapy przed użyciem miksera.

Żaden z tych transferów nie wyglądał na pośpieszny. Oba przypominały działanie ostrożnego operatora testującego płynność i czas reakcji compliance, dzielącego depozyty na typowe nominały Tornado, które są tanie do wymieszania i uciążliwe do śledzenia.

Jak doszło do ataku na Radiant

Historia Radiant zaczyna się 16 października 2024 roku, kiedy to pule pożyczkowe projektu na Arbitrum i BNB Chain zostały opróżnione z około 50 do 58 milionów dolarów. Wczesne techniczne post-mortemy wskazały na prosty, lecz niszczycielski problem.

Naruszenie wynikało z kompromitacji operacyjnej obejmującej posiadaczy kluczy i zatwierdzenia, które pozwoliły atakującemu przepchnąć złośliwe transakcje przez proces multi-signature. Firmy zajmujące się bezpieczeństwem opisały sytuację, w której sygnatariusze zostali nakłonieni do zatwierdzenia niewłaściwych wywołań.

Projekt stosował schemat trzy z jedenastu dla wrażliwych działań. Tak szeroki zestaw sygnatariuszy poprawiał dostępność, ale jednocześnie zwiększał powierzchnię ataku na urządzenia i podatność na inżynierię społeczną. Analizy Halborn i innych pokazały, jak zatwierdzenia i higiena urządzeń stworzyły okna, które wykorzystał atakujący, podczas gdy własne aktualizacje incydentu Radiant ustaliły oś czasu i skalę zdarzenia.

Późniejsze doniesienia sugerowały, że grupa wspierana przez państwo użyła podszywania się, by uzyskać dostęp, co Radiant potwierdził po opadnięciu kurzu.

CryptoSlate relacjonował skutki tego zdarzenia przez pryzmat trendów przestępczych. Raport zauważył, że całkowite straty z exploitów w październiku spadły do około 116 milionów dolarów, a incydent Radiant stanowił niemal połowę tej miesięcznej sumy, skupiając znaczną część strat w jednym miejscu.

To ujęcie jest istotne, ponieważ pokazuje, jak pojedyncze naruszenie cross-chain może znacząco wpłynąć na profil ryzyka w danym miesiącu, nawet jeśli ogólne otoczenie wydaje się spokojne.

To, co nastąpiło w ciągu kolejnego roku, ustaliło wzorzec widoczny dziś. Środki były przenoszone z L2 z powrotem na Ethereum przez mosty, gdzie płynność jest największa. Swapy konsolidowały salda w ETH, przygotowując je do procesu mieszania.

Transza z 22-23 października 2025 roku jest tego wyraźnym przykładem. CertiK odnotował 2 834,6 ETH w depozytach do Tornado i zauważył, że 2 213,8 ETH dotarło przez most Arbitrum z EOA 0x4afb, a reszta pochodziła z konwersji DAI.

Transfer z 31 października zwiększył łączną sumę o kolejne 5 411,8 ETH, z modularnymi depozytami odpowiadającymi standardom puli Tornado. Łańcuch jest publiczny, trasa przewidywalna, a bodźce zachęcają do cierpliwości zamiast spektakularnych ruchów.

Co ujawniają nowe fale prania środków

Ostatnia aktywność miksera przypomina strategię powolnego wykrwawiania, a nie pojedyncze wyjście. Przeskoki przez mosty z Arbitrum lub BNB Chain przenoszą środki do najgłębszych pul na mainnecie. Rotacje na DEX ustawiają saldo w ETH dla najbardziej efektywnych wejść do Tornado.

Grupowanie w standardowe nominały rozbija publiczny graf na fragmenty, których połączenie jest kosztowne. Zespoły compliance mimo to widzą wiele. Grupują adresy wokół wspólnych wzorców gazu i czasu, dopasowują depozyty do okien wypłat i obserwują charakterystyczne łańcuchy „peel”, które zaczynają się od małych kwot, rozprzestrzeniają szeroko, a następnie agregują w pobliżu docelowego miejsca.

To podejście jest pragmatyczne, ponieważ środowisko prawne nagradza pragmatyzm. Sądy zawęziły najszersze teorie rządu dotyczące sankcjonowania zdecentralizowanego oprogramowania. Prokuratorzy wygrywali i przegrywali różne sprawy związane z mikserami.

Efektem jest szara strefa, w której narzędzia prywatności nadal działają, a giełdy polegają na kontrolach opartych na zachowaniu zamiast ogólnych etykiet. Śledztwa nadal wykrywają wyjścia. Tarcie po prostu przesuwa się z oprogramowania na proces.

Dla użytkowników i twórców lekcja jest konkretna. Wybory projektowe mają wymierne skutki finansowe. Mosty i routery koncentrują wartość i tryby awarii, co jest dokładnie powodem, dla którego exploitujący z nich korzystają przy wyjściu. Aplikacje multi-chain wymagają pamięci mięśniowej dla zatrzymań, przełączania allowlist i snapshotów płynności, zamiast improwizacji tuż po naruszeniu.

Dokumentacja Radiant pokazuje, jak reakcja z czasem się zaostrzała. Koszty tej krzywej uczenia się były realne, ponieważ inicjatywa należała do atakującego. Obecne przepływy przez Tornado Cash to końcówka tej samej dystrybucji.

Operator wciąż się przemieszcza, ponieważ tory nadal działają. Właściwą odpowiedzią są wzmocnione procedury dla posiadaczy kluczy, węższe zatwierdzenia, monitoring mostów w czasie rzeczywistym i kultura traktująca urządzenia sygnatariuszy jak klejnoty koronne.

Exploitujący Radiant prawdopodobnie będzie kontynuował ten sam schemat, dopóki warunki się nie zmienią. Kolejne depozyty do Tornado pojawią się w znajomych rozmiarach. Kolejna aktywność na mostach pojawi się z adresów powiązanych ze ścieżkami z października 2024 roku. Czyste wyjście ostatecznie trafi na regulowaną platformę, a biura będą ważyć czas i heurystyki wobec narracji klientów.

Konsekwencje dla rynku są przewidywalne. Każde takie cierpliwe wyjście obniża zaufanie do cross-chainowych abstrakcji i skłania zespoły do audytowania nie tylko kodu, ale i operacji. Użytkownicy gonią za zyskami między sieciami, bo doświadczenie wydaje się płynne. Najbardziej doświadczeni złodzieje dokładnie wiedzą, gdzie ukryty jest ten szew.

Artykuł How this millionaire crypto hacker continues to freely cash out a year later ukazał się najpierw na CryptoSlate.