4.04 Attività Illegali in Cripto

La lezione si basa sulle informazioni del ’Crypto Crime Report’ del 2022 pubblicato dalla piattaforma di dati blockchain Chainalysis. Gli autori del rapporto basano le loro stime sui dati blockchain e poiché i procedimenti fallimentari e penali relativi ai fallimenti di alcune società sono ancora in corso, le loro transazioni non sono incluse nel 'Crypto Crime Report’ di quest’anno. Di conseguenza, si concentra su attività illegali che possono essere monitorate on-chain.

 

Contenuti

• Crypto Crime nel 2022
• Sanzioni
• Ransomware
• Riciclaggio di denaro
• Fondi rubati
• Mercati darknet
• Fregature
• Pump n Dump Token
• Panoramica su Cryptocurrency Crime Trends del 2022

 

Crypto Crime nel 2022

L’anno scorso, le criptovalute hanno sperimentato inquietanti turbolenze di mercato. I crolli di importanti società, tra cui FTX, Celsius e Three Arrows Capital, tra le altre, hanno creato incertezza tra gli investitori e attirato l’attenzione delle autorità di regolamentazione.

 

Nonostante il calo generale del mercato, il volume delle transazioni illegali è aumentato per il secondo anno consecutivo nel 2022, raggiungendo il livello record di 20,6 miliardi di dollari. Tuttavia gli autori del rapporto sottolineano che questa è solo la stima del limite inferiore, poiché è probabile che il volume delle transazioni illegali aumenti con la scoperta di nuovi indirizzi legati ad attività criminali. 

 

Vale la pena sottolineare che l'attività illegale nelle criptovalute rappresenta ancora una piccola quota del volume totale delle transazioni di criptovaluta, pari a meno dell'1%. Va anche notato che, nonostante il balzo di quest'anno, la quota di criminalità nell'attività totale di criptovaluta mostra una tendenza al ribasso.

Sanzioni

Il 43% del volume delle transazioni illegali nel 2022 proveniva da attività relative a entità sanzionate.

Diversi servizi relativi alle criptovalute sono stati designati come entità sanzionate dall’OFAC (Office of Foreign Assets Control) nel 2022. Tre di questi in particolare sono degni di nota perché evidenziano le sfide uniche per l'applicazione delle sanzioni contro diversi tipi di entità legate alla criptovaluta.

Questi includono: 

• Hydra - mercato darknet (un tempo il più grande mercato darknet al mondo con sede in Russia, che facilita la vendita di droga e offre servizi di riciclaggio di denaro),
• Garantex - scambio di criptovalute (uno scambio di criptovaluta ad alto rischio con sede in Russia che è stato sanzionato per attività di riciclaggio di denaro),
• Tornado Cash - mixer decentralizzato (un servizio di mixaggio decentralizzato sulla blockchain di Ethereum che è stato sanzionato per aver facilitato il riciclaggio di denaro, principalmente di fondi rubati da cybercriminali legati alla Corea del Nord).

Crollo della provenienza dei fondi pervenuti a ciascun soggetto sanzionato nei 60 giorni precedenti l’irrogazione delle sanzioni nei suoi confronti:

• Hydra  

Ha mostrato sicuramente la più alta attività criminale di tutti e tre i servizi, con il 68.2% di tutti i fondi in entrata provenienti da indirizzi illegali e il 12.6% da indirizzi rischiosi.

• Garantex 

Il 6.1% degli afflussi proveniva da fonti illegali e il 16.1% da indirizzi ritenuti rischiosi. Sebbene 6.1% possa sembrare una piccola quota degli afflussi totali, rappresenta una cifra elevata rispetto ad altri scambi centralizzati, che hanno ricevuto in media solo 0,3% di fondi da fonti illegali durante lo stesso periodo. 

• Tornado Cash 

Il 34% di tutti i fondi inviati a Tornado Cash proveniva da fonti illegali.

Nei 60 giorni precedenti le sanzioni, Garantex e Hydra hanno ricevuto fondi da un’ampia varietà di entità illecite, comprese società fraudolente o individui associati a ransomware. 

Durante questo periodo, Hydra ha ricevuto circa $176,000 in criptovalute da indirizzi correlati a ransomware, pari al 2,2% di tutti i fondi inviati da tali indirizzi. Garantex, d’altra parte, ha ricevuto $931,000 da indirizzi correlati a ransomware, che rappresentano l’11,6% di tutti i fondi inviati da tali indirizzi. Queste cifre mostrano che questi servizi, in particolare Garantex, sono stati fondamentali per consentire gli attacchi ransomware.

Tornado Cash è stato coinvolto in attività illegali, concentrandosi principalmente su due tipi di crimine informatico: hacking e truffe. Il 99.7% di tutti i fondi illegali che Tornado Cash ha ricevuto nei 60 giorni prima la sanzione erano fondi rubati. L’hack di Harmony Bridge avvenuto nel giugno 2022 (circa 45 giorni prima che Tornado Cash fosse sanzionato) ha portato circa il 65,7% dell’afflusso totale di fondi rubati al mixer durante questo periodo.

Risultati chiave: L’impatto delle sanzioni sulle criptovalute dipende dalla giurisdizione e dai vincoli tecnici.

• Il primo, il caso Hydra mostra che le sanzioni possono essere estremamente efficaci contro entità con operazioni chiave in giurisdizioni cooperanti (i server di Hydra erano situati in Germania - le forze dell’ordine tedesche si sono coordinate con le agenzie statunitensi e hanno sequestrato i server di Hydra).
• Il secondo, il caso Garantex illustra cosa accade quando manca la cooperazione internazionale. É difficile sanzionare efficacemente le entità le cui giurisdizioni di origine non dispongono di canali formali di cooperazione con la giurisdizione sanzionatoria.
• Il terzo, i casi di servizi decentralizzati (come Tornado Cash) sono più complicati. Le sanzioni contro i servizi decentralizzati agiscono più come uno strumento per scoraggiare l’uso del servizio piuttosto che interromperlo del tutto.

 

Ransomware

I ricavi del ransomware declinano perché più vittime si rifiutano di pagare.

Gli aggressori ransomware hanno estorto almeno $456.8 milioni alle vittime nel 2022, in calo rispetto ai $765.6 milioni dell’anno precedente. Gli autori del rapporto sottolineano che i totali reali sono più alti perché ci sono indirizzi di criptovalute controllati ransomware che non sono ancora stati identificati sulla blockchain.  

 

Anche se i dati mostrano un netto calo dei pagamenti di ransomware, ciò non significa che questi attacchi siano diminuiti nella stessa misura. Secondo gli esperti, il calo potrebbe essere dovuto al fatto che sempre più organizzazioni si rifiutano di pagare riscatti ai criminali informatici che utilizzano attacchi ransomware.

Cosa c’è esattamente dietro questo cambiamento?

• Il pagamento dei riscatti è diventato legalmente più rischioso (in termini di pagamento a entità sanzionate).
• La prospettiva delle compagnie di assicurazione informatica, che in genere rimborsano le vittime per i pagamenti di ransomware (al giorno d'oggi, le aziende devono soddisfare rigide misure di sicurezza informatica e di backup per essere assicurate contro il ransomware). Pur avendo una soluzione di backup efficace non fermerà gli attacchi ransomware né aiuterà in caso di perdita di dati, offre alle vittime più opzioni in modo che non siano costrette a pagare il riscatto.

Secondo i dati, la maggior parte degli aggressori ransomware trasferisce il denaro che riceve a scambi principali e centralizzati.

• La quota di fondi ransomware destinata ai principali exchange è aumentata dal 39,3% nel 2021 al 48,3% nel 2022.
• Anche l'uso di servizi illegali, come i mercati darknet, per riciclare denaro ransomware è diminuito, mentre l'uso di mixer è aumentato dall'11,6% al 15%.

 

Valutazione dell’ecosistema ramsonware

Mentre la molteplicità dei ceppi esistenti di ransomware potrebbe indicare che la concorrenza nel mercato è elevata, la realtà è diversa: il numero di aggressori ransomware è probabilmente piuttosto ridotto.

La maggior parte dei ceppi di ransomware opera su un modello Ransomware-as-a-service, in cui gli autori consentono al proprio software di essere utilizzato da altri criminali informatici, chiamati affiliati, in cambio di una percentuale dei profitti. Molti degli attacchi vengono eseguiti dallo stesso gruppo affiliato, utilizzando diversi ceppi di ransomware.

Nel grafico Chainalysis Reactor in basso, gli autori del "Crypto Crime Report" hanno mostrato un affiliato il cui portafoglio ha ricevuto depositi dai ceppi di ransomware Dharma, Conti e BlackCat in momenti diversi, indicando che l'affiliato ha condotto attacchi per tutti e tre i ceppi.

 

Analizzando i dati del ransomware, è possibile concludere che l'ecosistema del ransomware non dovrebbe essere visto come un insieme di ceppi separati, ma piuttosto come un piccolo gruppo di hacker che cambiano frequentemente il loro 'marchio' (questo fenomeno fa apparire il settore del ransomware più grande di quanto non sia in realtà).

Riciclaggio di denaro

Gli indirizzi illegali hanno inviato criptovalute per un valore di quasi $ 23,8 miliardi nel 2022, con un aumento del 68% rispetto al 2021.

Lo scopo del riciclaggio di criptovalute è nascondere l'origine dei fondi in modo che diventi difficile collegarli a un crimine. In definitiva, il riciclaggio di denaro comporta la conversione della criptovaluta in valuta fiat e, nella maggior parte dei casi, viene eseguita utilizzando gli scambi di criptovaluta.

Il riciclaggio di denaro in criptovaluta coinvolge in genere due tipi di entità e servizi on-chain:

• Servizi di intermediazione e portafogli: questi possono includere portafogli personali (noti anche come portafogli non ospitati), mixer, mercati darknet e altri servizi sia legali che illegali. I criminali di criptovaluta in genere utilizzano questi servizi, ad esempio, per immagazzinare temporaneamente fondi.
• Fiat off-ramps: si riferisce a servizi che consentono di scambiare criptovaluta con fiat. Questa è la parte più importante del processo di riciclaggio di denaro, poiché i fondi non possono più essere monitorati attraverso l'analisi blockchain. La maggior parte delle rampe fiat sono scambi centralizzati.

 

Gli indirizzi illegali hanno inviato criptovalute per un valore di quasi 23,8 miliardi di dollari nel 2022, con un aumento del 68% rispetto al 2021. Nella maggior parte dei casi, i principali exchange centralizzati sono stati i destinatari dei trasferimenti, ricevendo poco meno della metà di tutti i fondi inviati da indirizzi illegali.

 

Sempre più denaro illecito sta entrando nei protocolli DeFi, poiché i protocolli DeFi stessi erano l'obiettivo più comune degli attacchi nel 2022. Come risultato di tali attacchi, gli hacker in genere finiscono con token meno popolari (per lo più non elencati nei principali scambi centralizzati) , che richiedono l'uso di scambi decentralizzati (DEX) per scambiarli con criptovalute più popolari.

Usando i mixer

I mixer sono servizi popolari utilizzati dai criminali di criptovaluta, ricevendo l'8% di tutti i fondi inviati da indirizzi illegali nel 2022. L'anno scorso, l'OFAC ha sanzionato per la prima volta in assoluto i mixer, prima Blender.io e poi Tornado Cash, per il loro ruolo nel riciclaggio di criptovalute rubate dal gruppo Lazarus della Corea del Nord.

La sanzione di miscelatori noti potrebbe aver contribuito a due tendenze osservate nel 2022:

• la quantità totale di criptovaluta inviata ai mixer è diminuita in modo significativo,
• era più probabile che i fondi che effettivamente andavano ai mixer provenissero da fonti illegali.

I mixer hanno elaborato un totale di 7,8 miliardi di dollari nel 2022, il 24% dei quali proveniva da indirizzi illegali.

Vale anche la pena notare che la stragrande maggioranza dei fondi illegali elaborati dai mixer è costituita da fondi rubati, molti dei quali rubati da hacker legati alla Corea del Nord.

Concentrazione del riciclaggio di denaro nei servizi fiat off-ramp

Le rampe Fiat, come gli scambi, consentono ai criminali di convertire le criptovalute in valute fiat, che è probabilmente il loro obiettivo principale per il riciclaggio di denaro. D'altra parte, questi servizi sono tra i più regolamentati ei loro team di conformità svolgono un ruolo importante nell'individuare attività illegali, prevenire il flusso di fondi illeciti e scambiarli con denaro contante.

Nel 2022 c'erano 915 rampe fiat uniche che ricevevano criptovalute illegali (in calo rispetto alle 1.124 del 2021). Dei fondi illegali ricevuti dagli exchange, il 67,9% è andato a soli cinque servizi, tutti exchange centralizzati.

I servizi di riciclaggio di denaro "sotterranei" sono una preoccupazione crescente

Un'altra tendenza al riciclaggio di denaro, come osservato da Chainalysis, è la crescita di servizi sotterranei che non sono pubblicamente disponibili o conosciuti come i mixer standard (di solito accessibili tramite il browser TOR e per lo più pubblicizzati solo sui forum darknet). Tali servizi in genere spostano le criptovalute negli scambi per conto dei criminali informatici, le scambiano con valuta fiat o criptovalute "pulite" e quindi le rimandano ai criminali informatici.

 

Fondi rubati

Il 2022 è l'anno più grande nella storia per i furti di criptovalute con un valore totale di 3,8 miliardi di dollari.

 

I protocolli DeFi sono le maggiori vittime dell'hacking

Nell'anno precedente, l'82,1% dell'importo totale rubato dagli hacker proveniva dai protocolli DeFi, per un importo fino a 3,1 miliardi di dollari (in aumento rispetto al 73,3% nel 2021). Gli autori del rapporto sottolineano che il 64% di questi fondi rubati proveniva da protocolli cross-chain bridge. I ponti sono bersagli attraenti per gli hacker perché i contratti intelligenti diventano raccolte di fondi potenti e centralizzate che supportano risorse che sono state "collegate" a una nuova catena.

Come rendere la DeFi più sicura?

Soluzioni consigliate:

• Audit del codice DeFi da parte di fornitori di terze parti;
• testare i protocolli con attacchi simulati;
• monitoraggio attento del mempool per attività sospette sui contratti intelligenti.

Il rapporto indica che anche i regolatori possono svolgere un ruolo significativo qui e possono contribuire a rendere la DeFi più sicura stabilendo standard di sicurezza minimi che gli sviluppatori di protocolli dovrebbero seguire.

Hacker legati alla Corea del Nord

Gli hacker legati alla Corea del Nord (come quelli del gruppo Lazarus) hanno battuto i propri record nel 2022, rubando criptovalute per un valore stimato di 1,7 miliardi di dollari. La maggior parte degli esperti concorda sul fatto che il governo nordcoreano stia utilizzando questi fondi rubati per finanziare i suoi programmi di armi nucleari.

$ 1,1 miliardi di quel totale sono stati rubati attraverso hack dei protocolli DeFi. Il motivo per cui gli hacker legati alla Corea del Nord tendono a inviare gran parte di ciò che rubano ad altri protocolli DeFi è che durante i loro attacchi acquisiscono grandi quantità di token non liquidi che non sono quotati su exchange centralizzati. Gli hacker devono quindi rivolgersi ad altri protocolli DeFi (solitamente DEX) per scambiarli con asset più liquidi.

Gli hacker legati alla Corea del Nord rappresentano una seria minaccia per l'ecosistema delle criptovalute. Tuttavia, le forze dell'ordine sono in grado di combatterli in modo sempre più efficace. Un esempio di ciò è stato il sequestro di fondi per un valore di 30 milioni di dollari rubati da hacker nordcoreani che hanno effettuato un attacco all'Axie Infinity Ronin Bridge. Questo è stato il primo incidente del genere nella storia, il che dimostra che le forze dell'ordine hanno capacità crescenti per combattere i crimini legati alle criptovalute.

Mercati Darknet 

Nel 2022 si è verificata una diminuzione dei ricavi rispetto all'anno precedente per i mercati darknet.

Le entrate del mercato darknet nel 2022 si sono chiuse a $ 1,5 miliardi, in calo rispetto ai $ 3,1 miliardi nel 2021.

 

Hydra Market è stato il mercato darknet con i guadagni più alti nel 2022, nonostante sia stato sanzionato dall'OFAC e chiuso in un'operazione combinata USA-Germania ad aprile: nessun altro mercato ha battuto il loro vantaggio in termini di entrate.

Il rapporto, preparato da Chainalysis, spiega che Hydra ha offerto ai propri clienti un servizio legittimo in stile business, fornendo servizi e assistenza ai clienti. Ad esempio, Hydra ha offerto un servizio che consentiva agli utenti di verificare la purezza del farmaco. Inoltre, Hydra ha fornito un bot di Telegram che potrebbe aiutare gli utenti in caso di overdose e ha anche aiutato i venditori a contattare gli avvocati.

La chiusura di Hydra ha comportato un calo delle entrate del mercato darknet in tutto il settore: le entrate medie giornaliere per tutti i mercati sono scese da $ 4,2 milioni a $ 447.000 subito dopo la chiusura di Hydra.

Fregature

Le entrate delle truffe di criptovaluta sono diminuite del 46% nel 2022.

Sebbene le truffe rimangano la più grande forma di criminalità basata sulle criptovalute, i ricavi di quest'area sono scesi in modo significativo da $ 10,9 miliardi nel 2021 a $ 5,9 miliardi nel 2022. Va nuovamente sottolineato che i numeri indicati sono l'estremità inferiore delle stime e potrebbero cambiare in quanto Chainalysis individua più indirizzi legati a queste attività.

Nonostante il fatto che i ricavi di questa categoria siano diminuiti nel 2022, sono state osservate diverse truffe di grande successo, la più grande delle quali è stata Hyperverse, che ha generato entrate per quasi 1,3 miliardi di dollari. Nel 2022, la frode sugli investimenti ha dominato come categoria principale e ha contribuito alla maggior parte delle entrate tra tutte le attività illegali in questo settore.

Una breve panoramica delle categorie di truffe monitorate da Chainalysis:

• Truffe omaggio: i truffatori impersonano celebrità e promettono più criptovaluta in cambio dell'invio di fondi.
• Truffe di impersonificazione - i truffatori fingono di essere qualcuno in una posizione di autorità - dicendo alle vittime che devono inviare loro dei fondi per risolvere un problema o evitare guai.
• Truffe sugli investimenti: i truffatori promuovono una falsa società di investimento con la promessa di enormi profitti.
• Truffe NFT: i truffatori inducono le vittime ad acquistare falsi NFT che dovrebbero assomigliare a collezioni importanti.
• Truffe romantiche: i truffatori fingono di costruire una relazione romantica con la vittima per convincerla a inviare denaro. Possono anche includere "truffe di macellazione di maiali" che combinano elementi di romanticismo e frode sugli investimenti.

Il deposito medio prelevato dalle vittime di truffe romantiche è stato di quasi $ 16.000, quasi il triplo della categoria successiva più vicina.

I ricavi delle truffe di solito sono correlati al prezzo di Bitcoin, ma non tutti i tipi di crimine seguono lo stesso schema. Ad esempio, le truffe romantiche riguardano più la costruzione di una relazione personale con la vittima. L'obiettivo principale della vittima non è arricchirsi rapidamente, ma piuttosto aiutare una persona che considera un potenziale partner.

Pump ‘n Dump Token

Il 24% dei nuovi token lanciati nel 2022 presentava caratteristiche di schemi "pump and dump".

Nel mondo delle criptovalute, l'uso di schemi "pump and dump" (aumento artificiale del prezzo per attirare investitori, seguito dalla vendita di token da parte dei loro creatori, causando un forte calo di valore e perdite per gli investitori) è diventato comune. Ciò è dovuto alla facilità con cui i truffatori possono lanciare un nuovo token sul mercato e gonfiarne artificialmente il prezzo e la capitalizzazione di mercato controllando il volume degli scambi e l'offerta del token. Molti progetti e token vengono lanciati da team anonimi, consentendo ai criminali di condurre molte di queste truffe.

Lo scorso anno sono stati lanciati sul mercato oltre 1,1 milioni di nuovi token. Tuttavia, la maggior parte di loro non è riuscita a guadagnare popolarità nella comunità delle criptovalute, che è stata misurata dal numero di scambi effettuati sugli scambi.

Degli 1,1 milioni di token lanciati nel 2022, i creatori del rapporto, sulla base di criteri specifici, hanno identificato 40.521 token che hanno guadagnato abbastanza popolarità sui DEX per essere analizzati. Si è scoperto che 9.902 di loro, ovvero il 24%, hanno registrato un calo dei prezzi nella prima settimana dopo il loro lancio, indicando che sono stati creati per truffare gli altri (utilizzando uno schema "pump and dump").

I creatori del rapporto hanno scoperto che 445 individui o gruppi erano responsabili di quasi 10.000 token sospetti lanciati nel 2022.

Il più attivo sospetto creatore di token pump-and-dump identificato ha lanciato 264 token nel 2022.

Panoramica su Cryptocurrency Crime Trends del 2022

 

• Il volume delle transazioni illegali ha raggiunto il livello record di 20,6 miliardi di dollari.
• Il 43% del volume delle transazioni illegali proveniva da attività relative a entità sanzionate.
• Le entrate derivanti dal ransomware sono diminuite poiché più vittime si sono rifiutate di pagare.
• Gli indirizzi illegali hanno inviato criptovalute per un valore di quasi 23,8 miliardi di dollari, in aumento del 68% rispetto all'anno precedente.
• Il 2022 è stato l'anno più grande di sempre in termini di furto di criptovalute, con un valore totale di 3,8 miliardi di dollari.
• C'è stata una diminuzione delle entrate rispetto all'anno precedente per i mercati darknet.
• I ricavi delle truffe di criptovaluta sono diminuiti del 46%.
• Il 24% dei nuovi token lanciati aveva caratteristiche di schemi "pump and dump".

L'attività criminale nelle criptovalute rappresenta meno dell'1% del volume totale delle transazioni di criptovaluta e, nonostante il picco di quest'anno, la sua quota dell'attività totale di criptovaluta è in calo.