Cosa sono i Mixer di criptovalute. Tra aumento della richiesta, tipologie, modelli e illeciti

I mixer di criptovalute, sono uno strumento di riferimento per i criminali informatici e quindi uno dei tipi più importanti di servizi da comprendere per gli investigatori e i professionisti della sicurezza informatica.

I mixer sono progettati per fornire maggiore privacy nelle transazioni di criptovaluta, ma possono anche essere usati per offuscare la fonte dei fondi e, in mancanza di una parola migliore, “ingannare” gli investigatori della blockchain.

Per essere chiari, ci sono ragioni legittime per cui si vorrebbe farlo.

La privacy finanziaria è importante, soprattutto per le persone che vivono sotto governi oppressivi o che altrimenti hanno bisogno della capacità di effettuare transazioni legali in modo anonimo.

Tuttavia, la funzionalità di base dei mixer, combinata con il fatto che i mixer richiedono raramente, se non mai, informazioni per procedere, li rende naturalmente attraenti per i criminali informatici. In effetti, quasi il 10% di tutti i fondi inviati da indirizzi illeciti vengono inviati ai mixer: nessun altro tipo di servizio ha violato una quota di invio al mixer superiore dello 0,3%.

I mixer creano una disconnessione tra i fondi di criptovaluta che gli utenti depositano e ciò che prelevano, rendendo più difficile tracciare il flusso dei fondi. 

Lo fanno mettendo insieme i fondi depositati da molti utenti e mescolandoli insieme, in modo casuale. Gli utenti possono quindi ricevere fondi da un pool, meno una piccola commissione per il servizio. Alcuni mixer rendono i fondi ancora più difficili da tracciare consentendo agli utenti di ricevere quote di fondi di dimensioni diverse a indirizzi diversi in tempi scaglionati. 

Altri cercano di offuscare il fatto che viene utilizzato un mixer anche modificando la commissione su ogni transazione o variando il tipo di indirizzo di deposito utilizzato.

Diversi tipi di miscelatori

La maggior parte dei mixer rientra in una delle tre categorie seguenti.

• Miscelatori centralizzati. I mixer centralizzati inviano semplicemente la criptovaluta equivalente a ciò che gli utenti inviano agli indirizzi specificati dall’utente o che il mixer fornisce in anticipo, meno le commissioni. Ciò significa che non esiste un collegamento a catena definitivo tra la criptovaluta che l’utente invia e ciò che riceve, ma poiché il servizio di mixaggio stesso è centralizzato e di custodia, gli operatori possono registrare i dati necessari per effettuare tali connessioni, creando rischi per la privacy degli utenti;
• Mixer CoinJoin. Le transazioni CoinJoin sono una tattica utilizzata dai mixer, e in particolare dai portafogli con funzionalità di mixer integrate, in cui un gruppo di utenti invia i propri fondi e riceve indietro un mix dei fondi dell’altro in una serie di transazioni. A differenza dei mixer centralizzati, i mixer CoinJoin non sono di custodia, il che significa che non detengono mai effettivamente i fondi degli utenti;
• Mixer smart contract. Come i mixer CoinJoin, i mixer basati su smart contract non sono di custodia. Tuttavia, a differenza dei mixer CoinJoin, i mixer smart contract non ricevono e inviano i fondi degli utenti in un’unica transazione. Invece, una volta che l’utente invia i fondi al mixer, riceve una nota crittografica che dimostra che era quello dietro il deposito. Da un nuovo indirizzo, l’utente può quindi inviare al mixer una transazione che utilizza quella nota per prelevare i fondi al nuovo indirizzo. È importante sottolineare che l’utente può attendere fino a quando desidera prelevare i propri fondi dal mixer utilizzando quella nota crittografica. I mixer smart contract lavorano anche insieme a fornitori di servizi chiamati relayer, che possono fornire l’Ethereum necessario per pagare le commissioni sulla transazione di prelievo del mixer, assicurando che l’utente possa prelevare fondi a un nuovo indirizzo senza cronologia delle transazioni o connessioni ad altri servizi.

I mixer condividono una vulnerabilità chiave: le transazioni di grandi dimensioni li rendono inefficaci. 

Dal momento che gli utenti ricevono un “mix” di fondi forniti da altri, se un utente inonda il mixer e contribuisce in modo significativo più di altri, gran parte di ciò che finirà sarà costituito dai fondi originariamente versati, rendendo possibile rintracciare i fondi alla loro fonte originale. 

In altre parole, i mixer funzionano meglio quando hanno un gran numero di utenti, i quali mescolano quantità comparabili di criptovaluta.

I mixer sono conformi?

Nonostante la loro utilità per i criminali, i mixer non sono illegali per loro natura. 

Tuttavia, negli Stati Uniti, la Financial Crimes Enforcement Network (FinCEN) ha chiarito che i mixer sono trasmettitori di denaro ai sensi del Bank Secrecy Act (BSA) e quindi hanno l’obbligo di registrarsi presso FinCEN; sviluppare, implementare e mantenere un programma di conformità antiriciclaggio; e per soddisfare tutti i requisiti di rendicontazione e registrazione applicabili. 

Infatti, nel 2020 FinCEN ha penalizzato l’operatore di Helix e Coin Ninja per la gestione di attività di servizi monetari non registrati (MSB) e nel 2021 il Dipartimento di Giustizia ha arrestato e accusato l’operatore di Bitcoin Fog per riciclaggio di denaro, gestione di un’attività di trasmissione di denaro senza licenza e trasmissione di denaro senza licenza.    

Non siamo a conoscenza di alcun mixer che attualmente segua le regole relative ai processi KYC, ai controlli sull’origine dei fondi e ad altre norme di base sull’identificazione dei clienti e sulla due diligence a cui gli MSB sono soggetti nella maggior parte delle giurisdizioni. 

Dato che l’aumento della privacy è lo scopo principale dell’utilizzo di un mixer, sembra improbabile che si possano implementare tali procedure di conformità e mantenere la propria base utenti. 

Cosa sta guidando l’aumento dell’utilizzo del mixer?

L’utilizzo del mixer ha registrato aumenti significativi trimestre su trimestre a partire dal 2020 e, sebbene tale crescita si sia leggermente stabilizzata nel 2022, rimane vicina ai massimi storici. 

Come si vede, gli incrementi derivano principalmente da maggiori volumi inviati da scambi centralizzati, protocolli DeFi e, soprattutto, indirizzi connessi ad attività illecite. 

I protocolli DeFi, in particolare, sono aumentati non solo in termini di valore inviato ai mixer, ma anche in termini di quota di tutto il volume inviato ai mixer, il che ha senso dato che i tempi coincidono con la crescente importanza della DeFi all’interno dell’ecosistema complessivo delle criptovalute. 

Più interessante è però l’aumento delle criptovalute illecite che passano ai mixer. 

Gli indirizzi illeciti rappresentano il 23% dei fondi inviati ai mixer finora nel 2022, rispetto al 12% nel 2021. Nel grafico seguente, esaminiamo i tipi di attività criminali a cui sono associati gli attori illeciti. 

Nota: le entità sanzionate nel grafico sopra includono il volume inviato da entità che, prima di essere sanzionate, sarebbero rientrate in un’altra categoria. Ad esempio, Hydra Market è un mercato darknet che è stato sanzionato nel primo trimestre del 2022: tutto il suo volume degli anni precedenti è ora etichettato come “Sanzioni”. 

Ciò che spicca di più è l’enorme volume di fondi che si spostano verso i mixer dagli indirizzi associati a entità sanzionate, in particolare nel secondo trimestre del 2022. Di seguito, esaminiamo quali entità sanzionate specifiche hanno contabilizzato tali fondi finora nel 2022. 

Il mercato darknet russo Hydra, che è stato sanzionato nell’aprile 2022, è rappresenta il 50% di tutti i fondi che si sono trasferiti ai mixer da entità sanzionate quest’anno. 

È importante sottolineare che le vendite di droga non sono state l’unica ragione per cui OFAC ha deciso di perseguire Hydra. I funzionari del DOJ hanno specificato che Hydra ha svolto un ruolo nel riciclaggio di fondi da altri mercati darknet, furti di criptovalute e attacchi ransomware – il mercato offriva propri servizi simili a mixer – e ha facilitato la vendita di dati rubati e strumenti di hacking utilizzati negli attacchi informatici. 

Dato il ruolo smisurato che la Russia gioca nella criminalità informatica e le connessioni con alcuni di questi gruppi di criminali informatici dovuto ai servizi di intelligence russi, un aumento dei fondi che si spostano da servizi come Hydra ai mixer potrebbe essere significativo dal punto di vista della sicurezza nazionale. 

Quasi tutti i fondi che passano dalle entità sanzionate ai mixer provengono da due gruppi associati al governo nordcoreano: Lazarus Group e Blender.io. 

Lazarus Group è un sindacato di criminalità informatica responsabile di numerosi hack di criptovaluta per conto del governo nordcoreano e, insieme ai gruppi associati, rimane oggi estremamente attivo. Già nel 2022, si ritiene che gli hacker associati al governo nordcoreano abbiano rubato oltre 1 miliardo di dollari di criptovaluta, principalmente dai protocolli DeFi. Blender.io, d’altra parte, è diventato il primo mixer in assoluto sanzionato quest’anno per il suo ruolo nel riciclaggio di fondi rubati da Lazarus Group e altri associati alla Corea del Nord. Eventuali fondi che invia ad altri mixer potrebbero benissimo rappresentare una continuazione di quell’attività. 

Nel complesso, se etichettiamo le organizzazioni di criminali informatici con affiliazioni note agli stati nazionali, possiamo vedere che questi gruppi costituiscono una quota significativa e crescente di tutta la criptovaluta illecita inviata ai mixer.

Fonte: https://blog.chainalysis.com/reports/cryptocurrency-mixers/

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.