Як цей мільйонер-криптохакер продовжує вільно виводити кошти навіть через рік

31 жовтня 2025 року експлуататор Radiant перевів приблизно 5 411,8 ETH до Tornado Cash, що еквівалентно близько $20,7 мільйона.

Дев’ять днів раніше той самий кластер перемістив приблизно 2 834,6 ETH, що дорівнює $10,8 мільйона, після організації коштів через різні мережі та свопи перед міксером.

Жоден із цих сплесків не виглядав поспішним. Обидва виглядали як обережні дії оператора, який тестує ліквідність і час дотримання вимог, розбиваючи депозити на типові для Tornado номінали, які легко змішати й важко відстежити.

Як стався злам Radiant

Історія Radiant починається 16 жовтня 2024 року, коли його кредитні пули на Arbitrum та BNB Chain були спустошені на суму від $50 мільйонів до $58 мільйонів. Ранні технічні постмортеми зійшлися на простій, але руйнівній причині.

Порушення сталося через операційну компрометацію, пов’язану з власниками ключів і затвердженнями, що дозволило зловмиснику провести шкідливі транзакції через процес мультипідпису. Охоронні фірми описували, як підписанти були змушені схвалити неправильні виклики.

Проєкт мав схему три з одинадцяти для чутливих дій. Такий широкий набір підписантів покращував доступність, але розширював зону ризику для компрометації пристроїв і соціальної інженерії. Аналіз Halborn та інших відновив, як затвердження і гігієна пристроїв створили вікна, якими скористався зловмисник, а власні оновлення інциденту Radiant уточнили часову шкалу та масштаб.

Пізніше повідомлялося, що група, підтримувана державою, використала видавання себе за інших для отримання доступу, і Radiant підтвердив цю версію після стабілізації ситуації.

CryptoSlate висвітлював наслідки того часу через призму тенденцій злочинності. У звіті зазначалося, що загальні втрати від експлойтів у жовтні впали до приблизно $116 мільйонів, а інцидент Radiant склав майже половину цієї місячної суми, зосередивши значну частину збитків в одному місці.

Ця інтерпретація важлива, оскільки показує, як один міжланцюговий злам може суттєво вплинути на ризиковий профіль місяця, навіть коли загальне середовище здається спокійним.

Подальші події протягом наступного року сформували нинішню картину. Кошти виводилися з L2 і поверталися до Ethereum через мости з найбільшою ліквідністю. Свопи консолідували баланси в ETH для підготовки до мікшування.

Транш 22-23 жовтня 2025 року є яскравим прикладом. CertiK відзначив 2 834,6 ETH у депозитах Tornado і зазначив, що 2 213,8 ETH надійшли через міст Arbitrum з EOA 0x4afb, а решта — з конвертацій DAI.

Сплеск 31 жовтня збільшив поточну суму ще на 5 411,8 ETH, із модульними депозитами, що відповідають нормам пулу Tornado. Ланцюг публічний, маршрут передбачуваний, а стимули заохочують терпіння замість видовищності.

Що показують нові хвилі відмивання

Остання активність у міксері виглядає як стратегія повільного виведення, а не одноразовий вихід. Стрибки через мости з Arbitrum або BNB Chain переводять баланси в найглибші пули на основній мережі. Ротації на DEX формують інвентар у ETH для найефективнішого входу в Tornado.

Пакетування у стандартні номінали розбиває публічний граф на фрагменти, які дорого зшивати разом. Проте команди з дотримання вимог все одно бачать багато. Вони групують адреси за спільними шаблонами газу та часу, співставляють депозити з вікнами виведення і стежать за характерними ланцюгами peel, які починаються з малих сум, розповсюджуються широко, а потім агрегуються біля цільового майданчика.

Такий підхід прагматичний, оскільки юридичне середовище винагороджує прагматизм. Судові органи звузили найширші урядові теорії щодо санкціонування децентралізованого ПЗ. Прокурори вигравали й програвали різні справи, пов’язані з міксерами.

Результат — сіра зона, де інструменти приватності продовжують працювати, а біржі покладаються на поведінкові контролі, а не на загальні ярлики. Розслідування все ще виявляють виходи. Тертя просто переміщується з ПЗ на процеси.

Для користувачів і розробників урок очевидний. Дизайнерські рішення мають грошові наслідки. Мости й роутери концентрують цінність і режими відмов, саме тому експлуататори використовують їх для виходу. Мульти-ланцюгові додатки потребують навичок для зупинок, перемикань allowlist і знімків ліквідності, а не імпровізації після зламу.

Документація Radiant показує, як реакція ставала жорсткішою з часом. Вартість цього навчання була реальною, бо ініціатива була у зловмисника. Поточні потоки через Tornado Cash — це хвіст тієї ж розподільчої кривої.

Оператор продовжує рухатися, бо інфраструктура працює. Правильна відповідь — посилені процедури для власників ключів, вужчі затвердження, моніторинг мостів у реальному часі та культура, яка ставиться до пристроїв підписантів як до королівських коштовностей.

Ймовірно, експлуататор Radiant і надалі використовуватиме ту саму стратегію, доки умови не зміняться. Ще більше депозитів у Tornado надходитиме у знайомих розмірах. Ще більше активності на мостах з’явиться з адрес, пов’язаних із маршрутами жовтня 2024 року. Чистий вихід зрештою потрапить на регульований майданчик, і трейдери зважуватимуть час і евристику проти клієнтських історій.

Наслідок для ринку передбачуваний. Кожен такий терплячий вихід знижує довіру до міжланцюгових абстракцій і змушує команди перевіряти не лише код, а й операції. Користувачі женуться за прибутковістю між мережами, бо досвід здається безшовним. Найдосвідченіші злодії точно знають, де прихований цей шов.

Публікація How this millionaire crypto hacker continues to freely cash out a year later вперше з’явилася на CryptoSlate.