מסלול הכסף פורסם בשבת (ש') בשרשור הטוויטר של המשתמש BliteZero, אשר עובד עבור חברת SlowMist שעוסקת באבטחת מידע על רשתות בלוקצ'יין ועוקבת אחר מסלול הטרנסקציות של הכספים שנגנבו מרשת Ronin.
על פי BliteZero, המרת הכספים שנגנבו לביטקוין נעשתה באמצעות הטוקן renBTC, שהוא טוקן ERC-20 השייך לפרוטוקול Ren ומאפשר עיטוף של ביטקוין, כלומר ייצוג שלו על רשת הבלוקצ'יין של אתריום.
בנוסף, ההאקרים השתמשו במספר מערבלי קריפטו אשר מסווים את היסטוריית הטרנסקציות של הכסף המופקד בהם ומאפשרים משיכה של הכסף לכתובת ארנק דיגיטלי שונה מהכתובת שממנה הגיע הכסף במקור.
מסלול הכסף
רוב הכספים שנגנבו במתקפה על רשת Ronin הומרו תחילה לאתריום. חמישה ימים לאחר המתקפה ההאקרים העבירו 6,249 מטבעות אתריום לבורסות הקריפטו Huobi ו-FTX, שם הומרו מטבעות האתריום לביטקוין.
לאחר מכן הועברו 439 מטבעות ביטקוין דרך מערבל הקריפטו Blender, שמחלקת האוצר האמריקנית הטילה עליו סנקציות במאי. BliteZero הסביר כי כמעט כל הכתובות הקשורות ל-Blender ואשר נכנסו לרשימה השחורה של מחלקת האוצר, הן כתובות שהתוקפים הפקידו בהן ביטקוין. כמוכן, הם העבירו 3,460 מטבעות ביטקוין דרך מערבל הקריפטו ChipMixer.
175,000 מטבעות אתריום, שהם הרוב המוחלט של הכספים שנגנבו ושעל פי מחיר אתריום הנוכחי שווים כ-276.5 מיליון דולר, הועברו דרך טורנדו קאש בחודשים אפריל ומאי. לאחר מכן התוקפים השתמשו בבורסות יוניסוואפ (Uniswap) ו-1inch כדי להמיר כ-113,000 אתריום ל-renBTC ואז השתמשו בגשר המעבר בין רשתות (Cross-chain) של פרוטוקול Ren כדי להעביר את הנכסים הגנובים מרשת אתריום לרשת הבלוקצ'יין של ביטקוין על ידי הסרת העיטוף והפיכת ה-renBTC חזרה לביטקוין.
משם פוזרו כ-6,631 מטבעות ביטקוין, שעל פי מחיר ביטקוין הנוכחי שווים כ-141 מיליון דולר, בשורה של בורסות ושל פרוטוקולים מבוזרים.
לסיכום
בימים אלו, בהם עולם המטבעות הדיגיטליים ממשיך להתמודד עם ההשלכות השונות של פרשת טורנדו קאש וחסימת ארנקים דיגיטליים של משתמשים במגוון פלטפורמות בשל זיקה בין אותם ארנקים לבין כתובות טורנדו קאש שנמצאות ברשימה השחורה, נראה כי הגילויים החדשים על מסלול הכסף שנגנב מרשת Ronin מדגישים את חלקם המשמעותי של מערבלי קריפטו בהסוואת המקור של כספים שנגנבו במתקפות, הונאות וניצולי פרצות.