Хакер, украшавший $282 миллион на прошлой неделе, отмывает $63M через Tornado Cash: CertiK

• CertiK только что выявила $63 миллион украденных средств, проходящих через миксер Tornado Cash после взлома кошелька на $282 миллион на прошлой неделе.
• Злоумышленник использовал «учебные» методы отмывания, переводя Bitcoin в Ethereum и разбивая средства на мелкие части, чтобы избежать обнаружения.
• Этот масштабный кража началась с социальной инженерии, когда жертва по ошибке поделилась своей сид-фразой с фальшивым сотрудником службы поддержки.

На прошлой неделе, 10 января, один крупный хак взял под контроль $282 миллион с одного криптокошелька.

Хотя изначально казалось, что средства навсегда потеряны, последние судебные данные CertiK показывают, где находится часть денег.

Их системы зафиксировали рост активности по отмыванию средств на Tornado Cash на этой неделе и напрямую связали это с украденными активами.

Отслеживание пути отмывания через Tornado Cash

По данным аналитиков CertiK, примерно $63 миллион уже прошел через миксер. Эта сумма — лишь часть общего ущерба, но она показывает, что кража была организованной операцией, а хакеры( пытаются стереть цифровой след.

Исследователи CertiK составили карту возможного расположения средств сейчас, и их выводы показывают, что злоумышленник начал с Bitcoin, но быстро перешел в сеть Ethereum.

10 января 2026 года около 23:00 UTC жертва потеряла более $282М в LTC и BTC из-за социальной инженерии с аппаратным кошельком.

Злоумышленник начал конвертировать украденные LTC и BTC в Monero через несколько мгновенных обменов, что вызвало резкий рост цены XMR.

BTC также…

— ZachXBT )@zachxbt( 16 января 2026

Данные показывают, что 686 BTC было переведено через межцепочечный мост, что привело к поступлению примерно 19 600 ETH на один адрес.

Когда средства достигли Ethereum, злоумышленник начал отмывать их через Tornado Cash. CertiK также отметил, что вор не занимается отмыванием денег одновременно.

Вместо этого он разбил эфир на несколько меньших кошельков, каждый из которых содержит около 400 ETH.

Учебник по отмыванию средств

Эксперты назвали эти действия «учебным» примером кражи криптовалюты из-за их общей схемы.

#CertiKInsight 🚨

Мы обнаружили депозиты в Tornado Cash, которые прослеживаются до предполагаемого взлома кошелька 10 января, что обошлось в более чем $282М.

Часть средств )~$63М( была переведена на адрес 0xF73a4EbC3d0984F166AC215471Cc895cB4F5cc21 перед дальнейшим отмыванием.

Будьте бдительны! pic.twitter.com/byzRmjoeZR

— CertiK Alert )@CertiKAlert( 19 января 2026

Злоумышленник использовал платформы вроде THORswap для перехода между цепочками. Исторически злоумышленники делают это, чтобы скрыть следы, а их решение переводить ETH по 400 монет показывает, что они сознательно пытаются отмыть деньги.

Когда активы попадают в миксер вроде Tornado Cash, видимая связь между отправителем и получателем разрывается, и команды безопасности предупреждают, что шансы на восстановление снизятся практически до нуля после этого шага.

) Человеческая ошибка за хакерской атакой

Хотя схема отмывания кажется тщательно продуманной, сама кража была намного проще.

Инцидент 10 января произошел через социальную инженерию, когда злоумышленник притворился сотрудником службы поддержки кошелька и использовал это, чтобы завоевать доверие жертвы.

Злоумышленник убедил пользователя раскрыть свою сид-фразу, и как только это произошло, хакер полностью взял контроль над 1459 BTC и более 2 миллионами Litecoin.

Обычно трейдеры, ставшие жертвами, надеются, что записи блокчейна помогут им вернуть деньги.

Однако в этом случае средства медленно проходят через Tornado Cash, и с каждым проходящим моментом вероятность их восстановления уменьшается.

К моменту выхода средств из миксера они выглядят как «чистые» монеты без истории.

Правоохранительные органы иногда могут пометить адреса, взаимодействующие с миксерами. Однако эти протоколы децентрализованы, и этот процесс может быть очень сложным.