Отчет AMLBot показывает, что задержки заморозки Tether использовались с 2017 года, что позволило преступникам перевести $78 миллионов USDT на Ethereum и Tron.
Новый отчет от AMLBot показал, что задержки в механизме заморозки средств Tether позволили преступникам эксплуатировать систему и перевести более 78 миллионов USDT на Ethereum и Tron с 2017 года.
Механизм заморозки Tether и его уязвимости
AMLBot, компания по судебной экспертизе блокчейна, сообщила, что процесс заморозки USDT, связанного с преступной деятельностью, имеет задержку, которую преступники использовали.
Компания выяснила, что процесс внесения адресов в черный список включает в себя настройку с мультиподпиской, что создает задержку между запросом на заморозку в блокчейне и его выполнением.
Этот процесс требует, чтобы несколько сторон подписали замороженную транзакцию, что может занять время для завершения.
В течение этого временного окна некоторые кошельки могли перевести средства до активации заморозки. AMLBot назвал этот период "критическим окном" для незаконных действий.
PackShield, компания по безопасности блокчейна, рассмотрела отчет и подтвердила задержку.
«Это не обязательно указывает на проблему с самим контрактом», - сказал представитель. «Скорее, это операционная проблема, которая создает временное окно между моментом, когда транзакция по черному списку подана, и моментом, когда она выполняется».
$78 миллионов переместилось через Ethereum и Tron.
Выводы AMLBot показывают, что злонамеренные лица вывели $49,6 миллиона на Tron и $28,5 миллиона на Ethereum через эту уязвимость.
В одном случае была задержка 44 минуты между запросом на заморозку и его подтверждением в сети Tron. Это дало достаточно времени для кошелька сделать три транзакции до заморозки.
По данным AMLBot, 4,88% всех адресов в черном списке на Tron смогли воспользоваться этой уязвимостью.
Хотя по объему меньшие, кошельки на базе Ethereum также воспользовались этой операционной лакуной. С 2017 года общая сумма USDT, переведенного через такие кошельки, достигла $78,1 миллиона.
AMLBot считает, что некоторые участники используют инструменты для мониторинга запросов на заморозку. Эти инструменты сканируют на предмет специфических вызовов смарт-контрактов, которые являются частью процесса заморозки. Если такой вызов обнаружен, инструменты уведомляют владельца кошелька, давая ему время перевести средства.
Проблемы безопасности и реакции отрасли
Tether является эмитентом USDT, крупнейшего стейблкоина в мире, и регулярно замораживает токены, связанные с незаконной деятельностью.
Процесс внесения в черный список был недавно использован после взлома Bybit на $1,4 миллиарда, который был связан с группой Lazarus из Северной Кореи. Tether замораживает адреса, чтобы предотвратить передачу или обмен украденными активами, хотя Германия недавно конфисковала $38 миллионов от взлома.
PeckShield объяснил, что уязвимость является известной проблемой с кошельками на основе мультиподписки. Эти кошельки используются для повышения безопасности, но замедляют быстрые транзакции.
PeckShield предложил, чтобы Tether мог улучшить это, объединив запрос на заморозку и необходимые подписи в одну транзакцию в блокчейне, чтобы устранить задержки.
"Инструменты могут быть запрограммированы для мониторинга блокчейна на предмет специфических взаимодействий с контрактами, таких как вызовы submitTransaction(), связанные с запросами на заморозку," сказал Слава Демчак, генеральный директор AMLBot.
Он добавил, что хотя компания не наблюдала ботов напрямую, поведение в цепочке данных сильно указывает на то, что участвуют автоматизированные системы.
На фоне проверок Tether предпринял шаги для улучшения соблюдения норм, партнерствуя с Chainalysis.
Обе компании интегрируют инструменты мониторинга Chainalysis в платформу Hadron Tether, которая сосредоточена на токенизации реальных активов.
AMLBot подвергся критике за предполагаемое неправильное использование своих инструментов.
Во время расследования эксперт по блокчейну ZachXBT указал на некоторые проблемы с AMLBot. По его словам, собственные инструменты AMLBot не отслеживали преступников.
Как сообщил ZachXBT, вскоре после ограбления Genesis Creditor на $243 миллиона в августе 2024 года, AMLBot был использован для перевода украденных средств через мгновенные обмены.
В феврале 2025 года журналы нарушений группы-вымогателя BlackBasta также упоминали AMLBot как рекомендуемую платформу для проверки отмеченных адресов.
Исследователь киберпреступности Кребс ранее сообщал, что клиентами AMLBot являются Antinalysis, инструмент, созданный даркнет-группой "Incognito" для проверки адресов на наличие угроз.
Несмотря на эти обвинения, AMLBot утверждает, что его инструменты предназначены для соблюдения норм и мониторинга.
Он продолжает предупреждать, что преступники становятся все более изощренными и активно используют операционные задержки.