Когда-то популярный swapper для хакеров и сливщиков, eXch был закрыт немецкой полицией в апреле, но продолжающаяся активность говорит о том, что история еще не закончена.
Отсутствие проверок KYC (Знай своего клиента) делало eXch нетипичной криптобиржей. Он действовал скорее как мгновенный swapper, позволяя злоумышленникам и киберпреступникам оставаться незамеченными на протяжении многих лет.
Среди его клиентов была Lazarus Group. Северокорейское хакерское подразделение, поддерживаемое государством, вывело eXch на первый план в феврале, использовав платформу для отмывания части из 1,4 миллиарда долларов, украденных у Bybit. Когда Bybit проследил украденные средства до eXch, он запросил помощь, но платформа отказала.
Это привело к ожесточенным спорам о конфиденциальности и безопасности, но в конечном итоге eXch объявила о своем закрытии 17 апреля; 30 апреля немецкие власти официально подтвердили это.
Но, по данным фирмы безопасности TRM Labs, платформа могла продолжать работать в скрытом режиме после закрытия. Вот восхождение, падение и «послежизнь» предполагаемой криптопрачечной eXch.
eXch закрывает входную дверь, но оставляет заднюю дверь открытой
Вместе с объявлением о закрытии eXch разместила сообщение, утверждающее, что она не будет способствовать отмыванию преступных доходов. Публикация была удалена в течение нескольких часов, а операции были тихо возобновлены – признаки внутреннего разногласия или, возможно, преднамеренной попытки снизить видимость, согласно TRM.
Немецкие власти изъяли серверы eXch и конфисковали 34 миллиона евро (38 миллионов долларов) в криптовалюте, а также более восьми терабайт данных, эффективно демонтировав ее публично доступную инфраструктуру.
«Как мы видели с Garantex, переименованным в Grinex, eXch не умер полностью после закрытия. Он тихо продолжал обслуживать небольшое количество партнеров через API, что означало, что отмывание денег продолжалось даже после публичного закрытия», — заявил Jeremiah O’Connor, соучредитель и технический директор фирмы безопасности Trugard.
O’Connor добавил, что для таких платформ вполне вероятно продолжать обслуживать лояльных клиентов даже после арестов.
«Люди, стоящие за eXch.ch, в полной мере воспользовались тем, что работали в нескольких странах. Домен был зарегистрирован через провайдера из Великобритании, в качестве административного местоположения был указан Швейцария, инфраструктура размещалась во Франции, а серверы были изъяты в Германии», — сказал O’Connor.
Пока неясно, убьет ли eXch свой API или вернется под новым именем. TRM заявила в публикации в блоге от 2 мая, что оставшийся доступ к серверной части платформы продолжал предоставлять инфраструктуру анонимизации для злоумышленников.
Отсутствие KYC и объединенная ликвидность привлекают незаконные средства к eXch
Происхождение eXch восходит к 2014 году, согласно «Fantasy», ведущему следователю в страховой компании Fairside Network. В ходе расследования, проведенного в октябре 2024 года, Fantasy идентифицировала первое публичное появление платформы как аккаунт на форуме BitcoinTalk, продвигающий автоматические обмены между Bitcoin (BTC), Perfect Money и ваучерами BTC-e — способами оплаты, обычно связанными с высокорискованными транзакциями.
Fantasy также проследила первоначальный Bitcoin-кошелек, связанный с eXch, и обнаружила, что он, вероятно, финансировался через BTC-e, ныне несуществующую криптобиржу, закрытую американскими властями в 2017 году за ее роль в отмывании преступных доходов.
В ходе своей криминалистической экспертизы Fantasy обнаружила, что модернизированная форма eXch появилась в 2022 году, когда ее горячий кошелек Ethereum был впервые профинансирован. Вскоре после этого он стал центром для известных крипто-сливщиков.
Monkey Drainer — первый известный оператор drainer-as-a-service — использовал eXch перед своим уходом на пенсию. Другие провайдеры услуг слива, такие как Pink Drainer и Inferno Drainer, также переводили средства через платформу, наряду с несколькими крупными эксплойтерами.
eXch не требовал проверки личности, позволяя пользователям перемещать средства анонимно. Это сделало его привлекательным инструментом для киберпреступников, стремящихся очистить украденные активы.
«eXch удалось оставаться активным на протяжении многих лет, несмотря на то, что он способствовал очевидной незаконной деятельности, поскольку существует большой разрыв между тем, что регуляторы «могут» делать, и тем, как быстро развиваются технологии», — сказал Amit Levin, бывший следователь в Binance, Cointelegraph.
«В современном мире любой может запустить смарт-контракт или запустить крипто-сервис из любой точки мира, часто не раскрывая свою личность. А если нет регистрации, нет KYC и нет тех, кто несет ответственность, правоприменение становится почти невозможным».
Платформа также завоевала доверие злоумышленников, используя систему объединенной ликвидности, которая смешивала депозиты и снятие средств пользователей, что затрудняло расследование и правоохранительным органам отслеживание потока средств.
Когда eXch знал и ничего не сделал
eXch отрицал отмывание денег для северокорейских крипто-хакеров и в своем уведомлении о закрытии назвал проект попыткой энтузиастов конфиденциальности «восстановить баланс» в отрасли. Он раскритиковал правоприменение по борьбе с отмыванием денег и осудил компании, предлагающие API оценки рисков адресов, как «паразитов», наживающихся на страхе правительства.
«Поставщики услуг в крипто-пространстве в основном не являются децентрализованными; то есть они сохраняют контроль над активами клиентов или доступ к ним, как это демонстрирует случай с eXch», — заявила Gal Arad Cohen, партнер в S. Horowitz & Co, Cointelegraph.
«Финансовый посредник, работающий в криптосекторе, сталкивается с рисками, аналогичными рискам, с которыми сталкиваются традиционные финансовые учреждения, и поэтому должен соответствовать эквивалентным стандартам и нормативным требованиям», — добавила она.
Закрытие eXch — «огромная победа» для криптовалюты, согласно Alex Katz, генеральному директору фирмы безопасности Kerberus. Однако Katz предупредил, что злоумышленники могут перейти на альтернативные проекты, такие как THORChain, который был упомянут в бескомпромиссном прощальном манифесте eXch.
В ходе хакерской атаки на Bybit децентрализованный свап-протокол THORChain был использован в качестве основного моста для обмена около 500 000 Ether (ETH) на Bitcoin.
eXch заявила, что ее партнеры будут иметь доступ к ее API в течение ограниченного времени, но будущее операций будет зависеть от «новой команды управления». Старая команда рекомендовала создать новые пулы ликвидности.
