Хакер, який викрав $282 мільйонів минулого тижня, відмиває $63M через Tornado Cash: CertiK

• CertiK щойно виявила $63 мільйонів викрадених коштів, що протікають через міксер Tornado Cash після компрометації гаманця на $282 мільйонів минулого тижня.
• Зловмисник використовував «підручникові» методи відмивання, з’єднуючи Bitcoin з Ethereum і розділяючи кошти на дрібні частки, щоб уникнути виявлення.
• Це масштабне крадіжка почалася з соціальної інженерії, коли жертва помилково поділилася своєю seed-фразою з фальшивим співробітником служби підтримки.

Минулого тижня, 10 січня, один великий хак зняв $282 мільйонів з одного криптогаманця.

Хоча спочатку кошти здавалося, що назавжди втрачені, останні дані CertiK тепер показують, де знаходиться частина грошей.

Їхні системи зафіксували сплеск активності з відмивання коштів на Tornado Cash цього тижня і безпосередньо пов’язали його з викраденими активами.

Відстеження шляху відмивання через Tornado Cash

Згідно з аналітиками CertiK, приблизно $63 мільйонів вже перемістилися через приватний міксер. Ця сума — лише частина загальної втрати, але вона показує, що крадіжка була організованою операцією, і хакери( намагаються стерти цифровий слід.

Дослідники CertiK змоделювали, де може бути зараз гроші, і їхні висновки показують, що зловмисник почав з Bitcoin, але швидко перейшов у мережу Ethereum.

10 січня 2026 року близько 23:00 UTC жертва втратила понад $282М у LTC та BTC через соціальну інженерію з використанням апаратного гаманця.

Зловмисник почав конвертувати викрадені LTC та BTC у Monero через кілька миттєвих обмінів, що спричинило різке зростання ціни XMR.

BTC також…

— ZachXBT )@zachxbt( 16 січня 2026 року

Дані показують, що 686 BTC було переміщено через міжланцюговий міст, і це призвело до приблизно 19,600 ETH, що надійшли на один адресу.

Коли кошти потрапили в Ethereum, зловмисник почав відмивати їх через Tornado Cash. CertiK також зазначив, що злодій не відмиває гроші одночасно.

Замість цього вони розділили ETH на кілька менших гаманців, кожен з яких містить близько 400 ETH.

Підручник для відмивання

Експерти назвали ці дії «підручниковим» крадіжкою криптовалюти через їхню універсальність.

#CertiKInsight 🚨

Ми виявили депозити в Tornado Cash, що простежуються до ймовірного компромету гаманця 10 січня, що коштувало понад $282М.

Частина коштів )~$63М( була перекинута на 0xF73a4EbC3d0984F166AC215471Cc895cB4F5cc21 перед подальшим відмиванням.

Будьте обережні! pic.twitter.com/byzRmjoeZR

— CertiK Alert )@CertiKAlert( 19 січня 2026 року

Зловмисник використовував платформи, такі як THORswap, щоб переміщатися між ланцюгами. Історично hackers роблять це, щоб приховати слід, і їхні рішення перемістити ETH у 400-коінових частинах свідчать про цілеспрямовані спроби відмивання.

Коли активи потрапляють у міксер, такий як Tornado Cash, видимий зв’язок між відправником і отримувачем зникає, і служби безпеки попереджають, що шанси на відновлення зменшуються майже до нуля після цього кроку.

) Людська помилка за крадіжкою

Хоча відмивання здається ретельно продуманим, сама крадіжка була набагато простішою.

Інцидент 10 січня стався через соціальну інженерію, коли зловмисник видавав себе за співробітника служби підтримки гаманця і цим здобув довіру жертви.

Зловмисник переконав користувача розкрити свою seed-фразу, і коли жертва це зробила, хакер отримав повний контроль над 1459 BTC і понад 2 мільйонами Litecoin.

Зазвичай, трейдери, які стали жертвами, сподіваються, що записи блокчейну допоможуть їм повернути свої гроші.

Однак у цьому випадку кошти повільно рухаються через Tornado Cash, що робить відновлення дедалі менш ймовірним з кожною секундою.

Коли кошти залишають міксер, вони виглядають як «чисті» монети без історії.

Правоохоронні органи іноді можуть позначати адреси, що взаємодіють із міксерами. Однак ці протоколи є децентралізованими, і цей процес може бути дуже складним.