Колись улюблений сервіс обміну для хакерів і «дренерів», eXch був закритий німецькою поліцією в квітні — але подальша активність свідчить, що історія ще не закінчилася
Колись eXch слугував основним інструментом для зловмисників та операторів «дренерів», але в квітні його закрили німецькі правоохоронці — однак подальші операції свідчать, що це не кінець історії.
Без перевірки клієнтів (KYC) eXch більше нагадував швидкий обмінник, ніж традиційну криптобіржу. Саме це дозволяло кіберзлочинцям роками залишатися поза увагою відомств.
Серед клієнтів платформи виявилася група Lazarus. Підрозділ північнокорейських хакерів потрапив у центр уваги в лютому, коли на eXch було переказано частину з $1,4 млрд, викрадених з Bybit. Коли Bybit простежила кошти до eXch і звернулася по допомогу, платформа відмовилася сприяти розслідуванню.
Це викликало запеклу дискусію між прибічниками конфіденційності та прихильниками безпеки, але врешті-решт eXch оголосив про закриття 17 квітня, а 30 квітня німецькі власті офіційно зафіксували припинення діяльності.
Втім, за даними компанії TRM Labs, платформа могла продовжити роботу в режимі «по тихому» навіть після рейду правоохоронців. Ось злет, падіння та «післяжиття» підозрюваної «криптолавомийки» eXch.
eXch закриває фронтальні двері, залишаючи тил відкритим
Паралельно з повідомленням про закриття, eXch опублікував заяву про відмову від роботи з кримінальними коштами. Менш ніж за кілька годин пост зник, а операції продовжилися у прихованому режимі — ймовірно, через внутрішній конфлікт або стратегічну спробу знизити пильність, вважають в TRM.
Німецькі правоохоронці конфіскували сервери eXch, а також близько €34 млн ($38 млн) у криптовалюті й понад вісім терабайт даних, фактично знищивши публічну інфраструктуру платформи.
«Як і в випадку з перевтіленням Garantex у Grinex, eXch після закриття не зник зовсім. Він продовжував обслуговувати кількох партнерів через API, тож відмивання коштів тривало й після публічного рейду», — пояснює Джереміа О’Коннор, співзасновник та технічний директор Trugard.
О’Коннор додає, що подібні платформи нерідко підтримують «вірних клієнтів» навіть після вилучення активів.
«Оператори eXch.ch повністю скористалися перевагами мультиюрисдикційної моделі: домен зареєстровано через британського провайдера, як адміністративне місце вказано Швейцарію, інфраструктуру розміщено у Франції, а сервери вилучено в Німеччині», — розповів він.
Наразі невідомо, чи зупинять оператори eXch API або відродять платформу під новою назвою. У блозі TRM від 2 травня йдеться, що наявний бекенд досі забезпечує анонімізацію транзакцій для кіберзлочинців.
Відсутність KYC та об’єднана ліквідність приваблюють протиправні кошти на eXch
За даними «Фантазії», головного аналітика з Fairside Network, історія eXch бере початок у 2014 році. У жовтні 2024-го він виявив першу публічну згадку платформи на форумі BitcoinTalk, де рекламували автоматичний обмін між Bitcoin, Perfect Money та ваучерами BTC-e — методами, широко відомими високим ризиком.
Фантазія також простежив оригінальний біткоїн-гаманець eXch, який, ймовірно, поповнювався через BTC-e — біржу, закриту владою США в 2017 році за відмивання кримінальних коштів.
У 2022 році з’явилася «оновлена» версія eXch, коли вперше поповнили його гарячий Ethereum-гаманець. Незабаром платформа стала хабом для відомих «дренерів» крипти.
Monkey Drainer — перший у світі сервіс дренеру-на-замовлення — використовував eXch до свого «відходу на пенсію». Інші оператори, як Pink Drainer та Inferno Drainer, а також кілька великих експлойтерів, теж шукали тут інструменти для «очищення» коштів.
Відсутність верифікації особи дозволяла користувачам анонімно переміщувати викрадені активи. Завдяки цьому кіберзлочинці активно очищали кошти.
«eXch залишався активним роками — попри очевидну нелегальну діяльність — тому, що між можливостями регуляторів та швидкістю розвитку технологій існує величезний розрив», — зауважує Аміт Левін, колишній слідчий Binance.
Платформа також використовувала систему об’єднаної ліквідності, змішуючи депозити та виведення користувачів. Це значно ускладнювало відстеження руху коштів для слідчих і поліції.
Коли eXch знав, але нічого не робив
eXch заперечував свою причетність до відмивання коштів північнокорейських хакерів і в повідомленні про закриття охрестив себе «ініціативою прихильників конфіденційності, що прагнуть відновити баланс» у сфері криптовалют. Платформа критикувала AML-реґуляторів і називала компанії з рейтингування адрес «паразитами», що живляться страхом урядів.
«Сервіс-провайдери в криптопросторі зазвичай не є децентралізованими: вони контролюють або мають доступ до активів клієнтів, як це продемонстрував випадок eXch», — пояснює Галь Арад Коен, партнерка S. Horowitz & Co.
«Фінансовий посередник у сфері криптовалют має ризики, схожі на традиційні фінансові інститути, тому підлягає таким самим стандартам і регуляторним вимогам», — додає вона.
На думку Олексія Катца, CEO Kerberus, закриття eXch — «велика перемога» для галузі. Але він застерігає: кримінальні групи можуть мігрувати на альтернативні проєкти, зокрема THORChain, який згадувався в прощальному маніфесті eXch.
Під час атаки на Bybit децентралізований обмінник THORChain став основним «мостом» для обміну близько 500 000 Ethereum на біткоїни.
eXch заявив, що партнери матимуть обмежений доступ до API, а подальша робота залежатиме від «нової команди управління». Стара команда рекомендувала створити нові пули ліквідності для безперебійного функціонування та готова надати консультації.
Останніми рядками eXch залишив дзвінкий меседж: «Конфіденційність — це не злочин».
Німецькі правоохоронці повідомили, що з моменту заснування через eXch пройшло $1,9 млрд. Оператори підозрюються в комерційному відмиванні коштів та веденні кримінальної біржі.
