For business
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
Graph
Comprehensive transaction analytics that helps to build graphs and trace funds.
(soon)
AML certification
How industry players can get up-to-date knowledge and professional certification.
AML certification
How industry players can get up-to-date knowledge and professional certification.
Travel rule
(soon)
For personal use
AML checks
AML checks
Portfolio tracker
Portfolio tracker
Docs and reports
Docs and reports
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Getting money back
Services are focused on tracking
and recovering crypto assets.
and recovering crypto assets.
Getting money back
Services are focused on tracking
and recovering crypto assets.
and recovering crypto assets.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
Graph
Визуализация перемещения активов
и связей между кошельками.
и связей между кошельками.
(Cкоро)
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
Для себя
Для Бизнеса
Travel rule
(Cкоро)
AML-проверки
AML-проверки
Портфолио трекер
Портфолио трекер
Отчёты
Отчёты
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
Как из-за уязвимости механизма блокировок Tether злоумышленники вывели 50 млн долларов?
USDT от Tether давно стал «золотым стандартом» среди стейблкоинов. В то время как регуляторы по всему миру продолжают ужесточать надзор за криптовалютами, включая стейблкоины, Tether не только строго соблюдает законодательные требования, но и активно сотрудничает с властями для предотвращения незаконного использования своих токенов.
Однако насколько безупречны процессы контроля в самой Tether? Мы провели анализ текущих процедур блокировки активов и технического механизма заморозки токенов, используемого компанией. В результате исследования были выявлены уязвимости, позволяющие злоумышленникам обойти меры блокировки и продолжать использовать средства.
Однако насколько безупречны процессы контроля в самой Tether? Мы провели анализ текущих процедур блокировки активов и технического механизма заморозки токенов, используемого компанией. В результате исследования были выявлены уязвимости, позволяющие злоумышленникам обойти меры блокировки и продолжать использовать средства.
Что представляет собой Tether и как работают его токены?
Что представляет собой Tether и как работают его токены?
Ранее компания Tether была зарегистрирована на Британских Виргинских островах, однако в 2025 году она перенесла свою юридическую штаб-квартиру в Сальвадор. Это означает, что на Tether не распространяется законодательство США и ЕС. Однако компания добровольно соблюдает международные законы и сотрудничает с иностранными регулирующими органами.
С юридической точки зрения USDT является стейблкоином. Законодательство Сальвадора даёт чёткое определение данному виду токенов, причём это определение полностью согласуется с нормативной базой ЕС. Согласно этому определению, стейблкоин — это токен, обеспеченный фиатной валютой или корзиной активов.
С точки зрения финансовых показателей компании по состоянию на 31 марта 2025 года:
С юридической точки зрения USDT является стейблкоином. Законодательство Сальвадора даёт чёткое определение данному виду токенов, причём это определение полностью согласуется с нормативной базой ЕС. Согласно этому определению, стейблкоин — это токен, обеспеченный фиатной валютой или корзиной активов.
С точки зрения финансовых показателей компании по состоянию на 31 марта 2025 года:
- Общие активы (Total Assets) компании-эмитента Tether равны 149,274,515,988.00 USD
- Общие обязательства (Total Liabilities) компании-эмитента Tether равны 143,682,673,588.00 USD (на дату последнего отчета).
- Чистый капитал (Net Equity), определенный как превышение общих активов над общими обязательствами, компании-эмитента Tether равны 5,591,842,400.00 USD (на дату последнего отчета).
Основными сетями для транзакций USDT являются прежде всего Tron и Ethereum. Смарт-контракты токенов есть также в Solana, TON, Avalanche, Celo, Cosmos и других, но объем переводов и число пользователей в этих сетях заметно уступает Tron и Ethereum. Полный список поддерживамых Tether блокчейнов доступен по ссылке.
На момент написания данного материала, эмиссия токена USDT составляет 151,36 млрд USDT (151 359 797 434,88 USDT).
Общий объем переводов в токене USDT за последний месяц составляет 3,43 трлн USDT (3 425 512 430 531,00 USDT). И казалось бы, ввиду открытости блокчейна, переводы USDT можно делать производить кто угодно неограниченное количество раз, всё не так просто. Во всех своих смарт-контрактах компания реализовала механизм черного списка — сохраненного и обновляемого в смарт-контракте списка адресов, которым запрещены любые операции с токеном. И добавлять новые адреса в блэклист может лишь администрация Tether.
На момент написания данного материала, эмиссия токена USDT составляет 151,36 млрд USDT (151 359 797 434,88 USDT).
Общий объем переводов в токене USDT за последний месяц составляет 3,43 трлн USDT (3 425 512 430 531,00 USDT). И казалось бы, ввиду открытости блокчейна, переводы USDT можно делать производить кто угодно неограниченное количество раз, всё не так просто. Во всех своих смарт-контрактах компания реализовала механизм черного списка — сохраненного и обновляемого в смарт-контракте списка адресов, которым запрещены любые операции с токеном. И добавлять новые адреса в блэклист может лишь администрация Tether.
Механизм блокировки Tether: что это такое и как работает?
Механизм блокировки Tether: что это такое и как работает?
Процесс блокировки адресов и заморозки активов подробно описан во внутренних политиках Tether, в частности, в Пользовательском соглашении (Terms of Service) (см. актуальную версию здесь) и Политике по запросам от правоохранительных органов (Law Enforcement Requests Policy) (см. актуальную версию здесь). Согласно разделам 8.15 и 16 Пользовательского соглашения, Tether оставляет за собой право приостановить или заблокировать доступ к своим сервисам, заморозить любые токены Tether или пользовательские аккаунты, если этого требует закон или если компания сочтет это необходимым (например, в случае нарушений со стороны пользователя или попыток незаконной деятельности).
Таким образом, при покупке или использовании USDT пользователи соглашаются с тем, что в определенных обстоятельствах их токены могут быть заморожены или конфискованы. В разделах, касающихся правовых последствий нарушений, Tether прямо указывает на своё право замораживать клиентские токены. В отдельных случаях компания может не только заморозить определённое количество USDT, но и аннулировать их, а также вернуть фиатное обеспечение (по сути, конфисковав токены).
Каждая блокировка оформляется юридически индивидуально, но всегда опирается на наличие внешнего законного основания и внутреннего решения Tether, после чего осуществляется техническая реализация.
Таким образом, при покупке или использовании USDT пользователи соглашаются с тем, что в определенных обстоятельствах их токены могут быть заморожены или конфискованы. В разделах, касающихся правовых последствий нарушений, Tether прямо указывает на своё право замораживать клиентские токены. В отдельных случаях компания может не только заморозить определённое количество USDT, но и аннулировать их, а также вернуть фиатное обеспечение (по сути, конфисковав токены).
Каждая блокировка оформляется юридически индивидуально, но всегда опирается на наличие внешнего законного основания и внутреннего решения Tether, после чего осуществляется техническая реализация.
По каким причинам Tether блокирует средства?
В качестве основных поводов для для блокировок можно выделить:
- Санкции различных юрисдикций
- Официальные запросы от правоохранительных и регулирующих органов
- Добровольные превентивные меры.
Санкции США и других юрисдикций
Санкции США и других юрисдикций
По законодательству США основаниями для блокировки являются:
- Санкции OFAC
- Требования FinCEN
- AML/CTF законы США (Bank Secrecy Act, PATRIOT Act и т.д.).
Хотя компания Tether не является американской, она заявляет: «Tether в своей работе принимает во внимание санкционный список OFAC SDN и обязуется своевременно замораживать адреса, попадающие под санкции».
Так в 2022 году после введения санкций против сервиса Tornado Cash компания воздерживалась от односторонней блокировки адресов, связанных с операциями данного сервиса, до получения официальных инструкций, но подтвердила свою готовность: «Tether учитывает санкции OFAC как важную часть своей программы соблюдения международных стандартов». К концу 2023 года Tether перешла к более проактивной позиции и объявила о введении политики добровольной блокировки любых новых адресов, добавленных в санкционный список OFAC SDN, без ожидания отдельного предписания. Это связано с возросшим вниманием регуляторов США (OFAC) и необходимостью предотвращать обход санкций с использованием стейблкоинов.
Помимо санкционных списков OFAC SDN, Tether также учитывает требования законодательства о противодействии отмыванию денег и финансированию терроризма (AML/CFT). В США за это отвечает Финансовая разведывательная сеть (FinCEN). Любые активы, попадающие под расследование FinCEN, такие как те, которые связаны с отмыванием преступных доходов, наркоторговлей или финансированием терроризма, могут быть заморожены в соответствии с законодательством. Если адрес USDT участвует в расследовании в США (будь то запрос от FinCEN, ФБР и т. д.), компания рискует нарушить Закон о банковской тайне (Bank Secrecy Act) и другие федеральные законы, если не предпримет необходимых действий.
Основаниями для блокировки могут быть и законодательные акты ЕС, включая санкционные списки или требования AML законодательства (AMLD). Европейский Союз также имеет собственные санкционные списки и нормативные акты, обязательные к исполнению в юрисдикции ЕС. Tether не зарегистрирована в ЕС, но заявляет о глобальном соответствии международным нормам (по словам компании в рамках своей программы «world-class compliance») и фактически учитывает европейское санкционное и AML/CFT законодательство наряду с американским. Кроме того, Директивы Е С по противодействию отмыванию денег (AMLD 4−6) требуют внедрения контрольных мер в криптовалютной индустрии, включая мониторинг транзакций и заморозку подозрительных активов.
Так в 2022 году после введения санкций против сервиса Tornado Cash компания воздерживалась от односторонней блокировки адресов, связанных с операциями данного сервиса, до получения официальных инструкций, но подтвердила свою готовность: «Tether учитывает санкции OFAC как важную часть своей программы соблюдения международных стандартов». К концу 2023 года Tether перешла к более проактивной позиции и объявила о введении политики добровольной блокировки любых новых адресов, добавленных в санкционный список OFAC SDN, без ожидания отдельного предписания. Это связано с возросшим вниманием регуляторов США (OFAC) и необходимостью предотвращать обход санкций с использованием стейблкоинов.
Помимо санкционных списков OFAC SDN, Tether также учитывает требования законодательства о противодействии отмыванию денег и финансированию терроризма (AML/CFT). В США за это отвечает Финансовая разведывательная сеть (FinCEN). Любые активы, попадающие под расследование FinCEN, такие как те, которые связаны с отмыванием преступных доходов, наркоторговлей или финансированием терроризма, могут быть заморожены в соответствии с законодательством. Если адрес USDT участвует в расследовании в США (будь то запрос от FinCEN, ФБР и т. д.), компания рискует нарушить Закон о банковской тайне (Bank Secrecy Act) и другие федеральные законы, если не предпримет необходимых действий.
Основаниями для блокировки могут быть и законодательные акты ЕС, включая санкционные списки или требования AML законодательства (AMLD). Европейский Союз также имеет собственные санкционные списки и нормативные акты, обязательные к исполнению в юрисдикции ЕС. Tether не зарегистрирована в ЕС, но заявляет о глобальном соответствии международным нормам (по словам компании в рамках своей программы «world-class compliance») и фактически учитывает европейское санкционное и AML/CFT законодательство наряду с американским. Кроме того, Директивы Е С по противодействию отмыванию денег (AMLD 4−6) требуют внедрения контрольных мер в криптовалютной индустрии, включая мониторинг транзакций и заморозку подозрительных активов.
Официальные запросы от правоохранительных и регулирующих органов
Официальные запросы от правоохранительных и регулирующих органов
В дополнение к Условиям предоставления услуг, Tether публикует Руководство для правоохранительных органов по взаимодействию (Law Enforcement Request Policy). Компания отмечает, что она может добровольно раскрывать информацию и оказывать содействие властям, однако для применения принудительных мер, таких как замораживание, ей необходим «соответствующий юридический процесс», что подразумевает наличие запросов, оформленных в соответствии с установленным законом порядком.
Для того чтобы Tether заморозила адрес и токены, необходимы надлежащие юридические основания. В соответствии с тем же Руководством по взаимодействию с правоохранительными органами, компания реагирует только на официальные запросы от правоохранительных и регулирующих органов США, хотя принимает документы и из других стран мира.
Это могут быть могут быть:
Для того чтобы Tether заморозила адрес и токены, необходимы надлежащие юридические основания. В соответствии с тем же Руководством по взаимодействию с правоохранительными органами, компания реагирует только на официальные запросы от правоохранительных и регулирующих органов США, хотя принимает документы и из других стран мира.
Это могут быть могут быть:
- повестка в суд с требованием предоставить информацию или предпринять действия,
- судебное постановление о замораживании активов или выдаче сведений,
- ордер, например, на арест/конфискацию конкретных крипто-активов в рамках уголовного дела.
После исполнения блокировки Tether обычно информирует обратившееся ведомство. В Руководстве указано, что Tether оставляет за собой право сообщать властям любые сведения о пользователях и их транзакциях в рамках расследований. Соответственно, исполненная блокировка зачастую сопровождается передачей информации о балансе замороженных токенов, связанных транзакциях, IP-логах (если таковые имеются) и других данных, указанных в запросе.
Для обеспечения прозрачности сама блокировка отображается в блокчейне, однако обоснование обычно раскрывается только компетентным органам. В некоторых случаях, когда это не вредит следствию, Tether публикует пресс-релизы или предоставляет публичные комментарии.
В юрисдикциях за пределами США также существуют эквивалентные инструменты, такие как предписание суда в государстве-члене ЕС, европейский ордер на конфискацию активов и т. д. При получении запроса Tether проверяет полномочия запрашивающей стороны, что подразумевает, что запрос должен поступать с официального домена агентства и содержать ссылки на законодательные основания или судебное решение.
В некоторых случаях Tether реагирует и на менее формальные запросы, например, в виде письма или уведомления от агентства по электронной почте с заверением о том, что официальный ордер находится в процессе получения. Такие экстренные обращения возможны, когда счет принадлежит преступникам и существует риск немедленного вывода средств. Tether, как правило, удовлетворяет и добровольные обращения от правоохранительных органов, если может их верифицировать, а документы будут предоставлены позже.
Для обеспечения прозрачности сама блокировка отображается в блокчейне, однако обоснование обычно раскрывается только компетентным органам. В некоторых случаях, когда это не вредит следствию, Tether публикует пресс-релизы или предоставляет публичные комментарии.
В юрисдикциях за пределами США также существуют эквивалентные инструменты, такие как предписание суда в государстве-члене ЕС, европейский ордер на конфискацию активов и т. д. При получении запроса Tether проверяет полномочия запрашивающей стороны, что подразумевает, что запрос должен поступать с официального домена агентства и содержать ссылки на законодательные основания или судебное решение.
В некоторых случаях Tether реагирует и на менее формальные запросы, например, в виде письма или уведомления от агентства по электронной почте с заверением о том, что официальный ордер находится в процессе получения. Такие экстренные обращения возможны, когда счет принадлежит преступникам и существует риск немедленного вывода средств. Tether, как правило, удовлетворяет и добровольные обращения от правоохранительных органов, если может их верифицировать, а документы будут предоставлены позже.
Однако Tether не замораживает токены самостоятельно по запросам пользователей, например, жертв мошенничества. Частное лицо не может напрямую направить запрос на блокировку другого кошелька без официального правоохранительного или судебного обращения. Пользователь, владелец украденных USDT, должен сначала обратиться в полицию, которая затем, через суд или ведомство, сможет подать запрос в Tether.
Добровольные превентивные меры
Добровольные превентивные меры
В последние годы Tether все чаще принимает меры по блокировке адресов на добровольной основе. С декабря 2023 года компания внедрила проактивную политику блокировки адресов, попадающих в санкционные списки, такие как обновленный SDN-лист OFAC. Это означает, что Tether сама инициирует блокировки в интересах системы, особенно если адрес очевидно связан с преступной деятельностью (например, кошельки хакеров, даркнет маркетов, мошенников и т. д.
Кроме того, Tether замораживает средства, украденные в результате крупных взломов, по просьбе потерпевших или аналитических компаний. Например, компания сотрудничает с блокчейн-аналитиками, такими как Chainalysis, SlowMist и BitOK, и может самостоятельно замораживать токены, как только получает достоверную информацию о мошенничестве. В июле 2024 года по данным компании MistTrack было заморожено $ 870 тыс. USDT на трех адресах, связанных с фишингом и кражами. Это решение было принято на основе мониторинга и не потребовало публичного указания на прямой государственный приказ.
При этом Tether действует достаточно осторожно. В 2022 году компания открыто заявила, что не будет единолично замораживать подозрительные адреса без четкого запроса со стороны правоохранительных органов, чтобы не препятствовать тайным расследованиям. Как отметила компания, «даже если Tether замечает подозрительную активность на определенном адресе, заморозка без проверенной инструкции от правоохранительных и государственных организаций может помешать текущим и комплексным расследованиям». Правоохранительные органы иногда просят не спешить с блокировкой определенных адресов, чтобы отслеживать взаимодействия преступников, и Tether соблюдает такие рекомендации.
Таким образом, добровольная политика Tether эволюционирует: если ранее (до 2022 года) компания блокировала адреса практически исключительно по запросам, то к 2023−2024 годам она начала инициировать блокировки превентивно, особенно в отношении санкционных и широко известных преступных кошельков. Это делается для защиты экосистемы, укрепления репутации и сотрудничества с глобальным сообществом в области кибербезопасности.
Кроме того, Tether замораживает средства, украденные в результате крупных взломов, по просьбе потерпевших или аналитических компаний. Например, компания сотрудничает с блокчейн-аналитиками, такими как Chainalysis, SlowMist и BitOK, и может самостоятельно замораживать токены, как только получает достоверную информацию о мошенничестве. В июле 2024 года по данным компании MistTrack было заморожено $ 870 тыс. USDT на трех адресах, связанных с фишингом и кражами. Это решение было принято на основе мониторинга и не потребовало публичного указания на прямой государственный приказ.
При этом Tether действует достаточно осторожно. В 2022 году компания открыто заявила, что не будет единолично замораживать подозрительные адреса без четкого запроса со стороны правоохранительных органов, чтобы не препятствовать тайным расследованиям. Как отметила компания, «даже если Tether замечает подозрительную активность на определенном адресе, заморозка без проверенной инструкции от правоохранительных и государственных организаций может помешать текущим и комплексным расследованиям». Правоохранительные органы иногда просят не спешить с блокировкой определенных адресов, чтобы отслеживать взаимодействия преступников, и Tether соблюдает такие рекомендации.
Таким образом, добровольная политика Tether эволюционирует: если ранее (до 2022 года) компания блокировала адреса практически исключительно по запросам, то к 2023−2024 годам она начала инициировать блокировки превентивно, особенно в отношении санкционных и широко известных преступных кошельков. Это делается для защиты экосистемы, укрепления репутации и сотрудничества с глобальным сообществом в области кибербезопасности.
Можно ли разблокировать средства?
Можно ли разблокировать средства?
Данная процедура разблокировки средств не описана в открытых источниках, однако в соответствии с политикой восстановления токенов Tether (Tether Tokens Recovery Policy), «все правовые вопросы, связанные с запросами правоохранительных органов, кражами, взломами, мошенничеством и подобными ситуациями, должны сообщаться команде Tether Information requests». Таким образом, вся процедура разблокировки осуществляется по внутреннему регламенту Tether, который не подлежит разглашению.
Несмотря на отсутствие детальной информации, примеры успешной разблокировки все же известны. По открытым данным из блокчейна можно увидеть, что из 5131 заблокированного кошелька в сетях Tron и Ethereum, 330 кошельков были исключены из черного списка. Это составляет всего 6% от общего числа заблокированных адресов — довольно небольшая доля. При этом нигде не указывается, какая именно процедура разблокировки была применена в каждом конкретном случае.
Несмотря на отсутствие детальной информации, примеры успешной разблокировки все же известны. По открытым данным из блокчейна можно увидеть, что из 5131 заблокированного кошелька в сетях Tron и Ethereum, 330 кошельков были исключены из черного списка. Это составляет всего 6% от общего числа заблокированных адресов — довольно небольшая доля. При этом нигде не указывается, какая именно процедура разблокировки была применена в каждом конкретном случае.
В каком объеме и с какой частотой Tether блокирует средства?
В каком объеме и с какой частотой Tether блокирует средства?
На момент написания материала в блэклист Tether попали 5131 адреса из которых 2816 относятся к сети Tron, а 2314 — к Ethereum. Общий объем замороженных средств составляет 3,027 миллиарда долларов, из которых 1,371 миллиарда долларов находилось в Tron и 1,656 миллиарда долларов — в Ethereum.
На графике ниже видно, как за последнее время увеличился объем блокируемых средств и число блокируемых кошельков.
На графике ниже видно, как за последнее время увеличился объем блокируемых средств и число блокируемых кошельков.
На нем четко видно значительное увеличение заморозки активов после внедрения Tether добровольных мер блокировки в декабре 2023 года.
Как реализован механизм блокировок в смарт-контрактах Tether?
Как реализован механизм блокировок в смарт-контрактах Tether?
Как уже было сказано, основными сетями для Tether являются Tron и Ethereum, а основным токеном — USDT. Все смарт-контракты в этих сетях, за исключением некоторых отдельных случаев, имеют аналогичную логику. Поэтому далее рассмотрим смарт-контракты именно в этих двух сетях.
Отметим адреса этих смарт-контрактов:
Отметим адреса этих смарт-контрактов:
0xdac17f958d2ee523a2206206994597c13d831ec7 — смарт-контракт в Ethereum,
- TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t — смарт-контракт в Tron,
- 0xdac17f958d2ee523a220
- TR7NHqjeKQxGTCi8q8ZY
0xdac17f958d2ee523a2206206994597c13d831ec7 — смарт-контракт в Ethereum,
TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t — смарт-контракт в Tron,
В коде смарте-контрактов для реализации механизма блокировок есть несколько функций:
- addBlackList - функция добавления адреса в блэклист. Сразу после вызова функции любые операции с токеном становятся недоступны для добавленного в хранилище смарт-контракта адреса.
- removeBlackList - функция удаления адреса из блэклиста. Как только функция вызвана, адрес удаляется из блэклиста, и его владелец снова получает возможность совершать переводы токенов и участвовать в других операциях.
- destroyBlackFunds - функция “сжигания” средств на балансе адреса из блэклиста. Уменьшает эмиссию токена.
Вызывать указанные функции смарт-контракта может лишь владелец, определенный в этом смарт-контракте. И вот вот в управлении смарт-контракта содержится много интересного.
Если обратиться к смарт-контрактам, то они указывают, что владельцем в сети Tron является кошелек с адресом TBPxhVAsuzoFnKyXtc1o2UySEydPHgATto, а в сети Ethereum — кошелек с адресом 0xC6CDE7C39eB2f0F0095F41570af89eFC2C1Ea828.
Если обратиться к смарт-контрактам, то они указывают, что владельцем в сети Tron является кошелек с адресом TBPxhVAsuzoFnKyXtc1o2UySEydPHgATto, а в сети Ethereum — кошелек с адресом 0xC6CDE7C39eB2f0F0095F41570af89eFC2C1Ea828.
Вызывать указанные функции смарт-контракта может лишь владелец, определенный в этом смарт-контракте. И вот вот в управлении смарт-контракта содержится много интересного.
Если обратиться к смарт-контрактам, то они указывают, что владельцем в сети Tron является кошелек с адресом TBPxhVAsuzoFnKyXtc1o2UySE
ydPHgATto, а в сети Ethereum — кошелек с адресом 0xC6CDE7C39eB2f0F0095F415
70af89eFC2C1Ea828.
Если обратиться к смарт-контрактам, то они указывают, что владельцем в сети Tron является кошелек с адресом TBPxhVAsuzoFnKyXtc1o2UySE
ydPHgATto, а в сети Ethereum — кошелек с адресом 0xC6CDE7C39eB2f0F0095F415
70af89eFC2C1Ea828.
Владелец USDT смарт-контракта в Tron.
Владелец USDT смарт-контракта в Ethereum.
Если обратиться к данным этих кошельков в любом блокчейн-эксплорере, можно заметить, что это не просто холодные кошельки, а именно смарт-контракты, реализующие функционал мультиподписных (multisig) кошельков.
2.
1.
Именно через механизм мультиподписи администрация Tether ведет управление контрактами токенов. Но как работает мультиподпись в таких кошельках?
Мультиподписной кошелек (multisig) — это криптокошелек, для выполнения операций с которым требуется подпись сразу нескольких ключей. Иными словами, для отправки транзакции должно согласиться как минимум M из N владельцев.
Процедура таких операций с подтверждениями состоит из двух этапов:
Мультиподписной кошелек (multisig) — это криптокошелек, для выполнения операций с которым требуется подпись сразу нескольких ключей. Иными словами, для отправки транзакции должно согласиться как минимум M из N владельцев.
Процедура таких операций с подтверждениями состоит из двух этапов:
- Создание транзакции, которую кошелек должен будет выполнить.
- Получение необходимого числа подтверждений для созданной транзакции и ее выполнения.
Проблема использования multisig-кошельков в том, что существует определенный лаг между созданием транзакции со всеми входными параметрами и ее фактическим исполнением в блокчейне. Этот период может быть использован теми, кто хочет получить информацию о транзакциях кошелька до их завершения.
Рассмотрим механизм блокировок, осуществляемых через multisig-кошельки Tether
Рассмотрим механизм блокировок, осуществляемых через multisig-кошельки Tether
Для начала выгрузим все вызовы смарт-контрактов этих кошельков:
Для выгруженных в Tron транзакций вызываются следующие функции смарт-контракта:
- submitTransaction (3604 вызова)
- confirmTransaction (3513 вызовов)
- revokeConfirmation (6 вызовов)
- executeTransaction (3 вызова)
В Ethereum всё чуть иначе:
- submitTransaction (4247 вызовов)
- confirmTransaction (7864 вызовов)
Почему в Ethereum вызовов confirmTransaction почти в два раза больше, чем вызовов submitTransaction? Ответ здесь прост: в сети Tron для выполнения транзакции достаточно получить всего 2 подтверждения, тогда как в Ethereum необходимо собрать уже 3 подтверждения.
Теперь изучим исключительно вызовы функции submitTransaction, так как именно эта функция определяет, какая транзакция будет сформирована после подтверждения. А значит, и будущие транзакции добавления в блэклист создаются именно тут.
Код функции выглядит так:
Теперь изучим исключительно вызовы функции submitTransaction, так как именно эта функция определяет, какая транзакция будет сформирована после подтверждения. А значит, и будущие транзакции добавления в блэклист создаются именно тут.
Код функции выглядит так:
/// @dev Allows an owner to submit and confirm a transaction.
/// @param destination Transaction target address.
/// @param value Transaction ether value.
/// @param data Transaction data payload.
/// @return Returns transaction ID.
function submitTransaction(address destination, uint value, bytes data)
public returns (uint transactionId)
{
transactionId = addTransaction(destination, value, data);
confirmTransaction(transactionId);
}
/// @param destination Transaction target address.
/// @param value Transaction ether value.
/// @param data Transaction data payload.
/// @return Returns transaction ID.
function submitTransaction(address destination, uint value, bytes data)
public returns (uint transactionId)
{
transactionId = addTransaction(destination, value, data);
confirmTransaction(transactionId);
}
У нее есть 3 входных параметра:
- destination - адрес целевого смарт-контракта, который должен быть вызван.
- value - сумма в нативном токене (TRX или ETH), которую надо будет отправить на целевой смарт-контракт.
- data - бинарные данные, с которыми будет вызван целевой смарт-контракт.
Пример вызова функции submitTransaction.
В случае успеха функция возвращает идентификатор новой транзакции, и одновременно генерирует два события:
- Submission(transactionId) с этим идентификатором.
- Confirmation(msg.sender, transactionId) для первого подтверждения.
Пример сгенерированных событий.
Теперь наша задача состоит в том, чтобы:
- Собрать все вызовы функции submitTransaction и декодировать параметры destination и data (параметр value в данном случае не интересен).
- Оставьте только те вызовы, которые вызывают функцию addBlackList у смарт-контрактов токена USDT, одновременно выделив блокируемые адреса.
- Определить итоговый идентификатор созданной транзакции.
Все вызовы функции submitTransaction мы выгрузили для изучения:
Критерием создания транзакции, вызывающей функцию addBlackList, является наличие байтов 0ecb93c0 в начале параметра data. Это связано с тем, что этот байтовый идентификатор соответствует функции addBlackList в EVM и TVM блокчейнах.
В параметре data также содержится адрес, который в итоге будет передан в функцию addBlacklist. Мы его тоже декодируем.
Из логов созданной транзакции мы считаем событие Submission(uint256) и идентификатор новой транзакции.
В итоге мы получим таблицу с информацией о начале процедуры добавления адреса в черный список:
В параметре data также содержится адрес, который в итоге будет передан в функцию addBlacklist. Мы его тоже декодируем.
Из логов созданной транзакции мы считаем событие Submission(uint256) и идентификатор новой транзакции.
В итоге мы получим таблицу с информацией о начале процедуры добавления адреса в черный список:
Добавление адреса в блэклист завершится после получения необходимого числа подтверждений (вызов функции confirmTransaction). В сети Tron требуется два подтверждения, а в сети Ethereum — три. При этом вызов функции submitTransaction уже обеспечивает одно подтверждение.
Обрабатываем только вызовы функции confirmTransaction, декодируем параметр transactionId и заносим в таблицу:
Обрабатываем только вызовы функции confirmTransaction, декодируем параметр transactionId и заносим в таблицу:
Отметим, что первый вызов функции confirmTransaction в Ethereum мы отбросили, поскольку транзакция выполняется лишь после второго подтверждения.
Сопоставляем по ID транзакции вызовов submitTransaction и confirmTransaction (в Ethereum сопоставление осуществляется со вторым подтверждением) и сохраняем в одну таблицу:
Сопоставляем по ID транзакции вызовов submitTransaction и confirmTransaction (в Ethereum сопоставление осуществляется со вторым подтверждением) и сохраняем в одну таблицу:
Теперь для каждой блокировки мы имеем начало добавление адреса в блэклист и завершение данной процедуры. И самое важное, что мы знаем время начала и конца процесса.
Изучаем последствия уязвимости и объем выведенных средств злоумышленниками
Изучаем последствия уязвимости и объем выведенных средств злоумышленниками
Прежде всего, давайте оценим, сколько в среднем времени длился временной разрыв между началом процедуры добавления адреса в черный список и ее завершением.
В сети Tron средний гэп составил 37 часов, а медианное значение — 2 часа 47 минут. За последний год ситуация немного улучшилась: средний гэп снизился до 4 часов 57 минут, а медиана составила 2 часа. Однако это все равно довольно долго. В течение последнего года были случаи, когда гэп достигал 24 часов, 40 часов и даже 151 часа.
В Ethereum ситуация еще хуже: средний гэп составил 151 час, а медиана — 5 часов 26 минут.
Рекорды по временным разрывам в блокировках значительно выше: в Tron максимальный гэп достиг 58 дней, а в Ethereum — 678 дней, то есть почти 2 года.
В сети Tron средний гэп составил 37 часов, а медианное значение — 2 часа 47 минут. За последний год ситуация немного улучшилась: средний гэп снизился до 4 часов 57 минут, а медиана составила 2 часа. Однако это все равно довольно долго. В течение последнего года были случаи, когда гэп достигал 24 часов, 40 часов и даже 151 часа.
В Ethereum ситуация еще хуже: средний гэп составил 151 час, а медиана — 5 часов 26 минут.
Рекорды по временным разрывам в блокировках значительно выше: в Tron максимальный гэп достиг 58 дней, а в Ethereum — 678 дней, то есть почти 2 года.
А теперь давайте рассмотрим самое интересное — поступления, выводы и суммарную замороженную сумму для блокируемых кошельков в период времени между началом заморозки и завершением процесса блокировки.
Мы видим, что есть адреса, которые успели вывести средства даже в небольшой промежуток времени. И иногда это несколько миллионов USDT.
Если мы посчитаем разницу между выведенными и полученными средствами на адресах в период процедуры заморозки, то обнаружим, что у 181 кошелька в сети Tron и 76 кошельков в Ethereum баланс оказался положительным, с объемами 34.5 миллиона долларов и 21.1 миллиона долларов соответственно.
Однако наивно полагать, что все, кто вывел средства, знали о предстоящей блокировке. Поэтому целесообразно определить некоторые признаки возможного инсайда. Например, можно считать признаком, что на балансе остается минимальная сумма средств, с которой оперировали. Пусть это будет менее 20 USDT на балансе или менее 5% от общего числа выведенных средств. В результате получаем следующие цифры:
Если мы посчитаем разницу между выведенными и полученными средствами на адресах в период процедуры заморозки, то обнаружим, что у 181 кошелька в сети Tron и 76 кошельков в Ethereum баланс оказался положительным, с объемами 34.5 миллиона долларов и 21.1 миллиона долларов соответственно.
Однако наивно полагать, что все, кто вывел средства, знали о предстоящей блокировке. Поэтому целесообразно определить некоторые признаки возможного инсайда. Например, можно считать признаком, что на балансе остается минимальная сумма средств, с которой оперировали. Пусть это будет менее 20 USDT на балансе или менее 5% от общего числа выведенных средств. В результате получаем следующие цифры:
- 80 кошельков в Tron вывели 18.1 млн.
- 28 кошельков в Ethereum вывели 13.0 млн.
Теперь составим график инсайдерской активности по месяцам:
Заметно, что количество и объем спасенных средств увеличивались в последние месяцы. Это позволяет предположить, что информация об уязвимости становилась известна всё большему числу участников рынка, и они использовали это в своих интересах.
Однозначно можно утверждать, что при таких задержках в подтверждении блокировки кошелька его владельцы могут заранее узнать о грядущей заморозке и вывести средства на новый «чистый» кошелек. Более того, этот процесс можно полностью автоматизировать, создав кошелек, способный сберегать средства в 99% случаев.
Однозначно можно утверждать, что при таких задержках в подтверждении блокировки кошелька его владельцы могут заранее узнать о грядущей заморозке и вывести средства на новый «чистый» кошелек. Более того, этот процесс можно полностью автоматизировать, создав кошелек, способный сберегать средства в 99% случаев.
Заключение
Заключение
С точки зрения современных стандартов регулирования противодействия отмыванию денег и финансированию терроризма (AML/CFT), а также обращения с криптовалютами, политика компании Tether является образцовой. Компания демонстрирует высокую степень приверженности законодательным нормам, оперативно реагирует на запросы компетентных органов, активно содействует им в расследованиях, а также превентивно выявляет и блокирует кошельки правонарушителей.
Однако, несмотря на это, процедуры Tether имеют ряд недостатков. Прежде всего, это касается недостаточной ясности в процедурах разблокировки средств и превентивных блокировках кошельков, а также минимальной публичности компании в разъяснении своих действий в области политики AML/CFT.
Отдельно стоит выделить существующую процедуру внесения адресов в черный список. Текущий подход компании в этом вопросе предоставляет злоумышленникам возможность заранее узнавать о готовящейся заморозке средств и выводить активы на другие, не заблокированные кошельки. По нашим оценкам, такая уязвимость была использована более 100 раз, что позволило злоумышленникам вывести свыше 30 миллионов долларов США.
Для повышения своей безопасности Tether следует пересмотреть внутренние процедуры добавления адресов в черный список и полностью исключить возможность преждевременного появления информации о грядущей блокировке в публичных блокчейн-сетях до момента её фактической реализации.
Однако, несмотря на это, процедуры Tether имеют ряд недостатков. Прежде всего, это касается недостаточной ясности в процедурах разблокировки средств и превентивных блокировках кошельков, а также минимальной публичности компании в разъяснении своих действий в области политики AML/CFT.
Отдельно стоит выделить существующую процедуру внесения адресов в черный список. Текущий подход компании в этом вопросе предоставляет злоумышленникам возможность заранее узнавать о готовящейся заморозке средств и выводить активы на другие, не заблокированные кошельки. По нашим оценкам, такая уязвимость была использована более 100 раз, что позволило злоумышленникам вывести свыше 30 миллионов долларов США.
Для повышения своей безопасности Tether следует пересмотреть внутренние процедуры добавления адресов в черный список и полностью исключить возможность преждевременного появления информации о грядущей блокировке в публичных блокчейн-сетях до момента её фактической реализации.
