Как этот миллионер-криптохакер продолжает свободно обналичивать средства спустя год

31 октября 2025 года злоумышленник Radiant перевел примерно 5 411,8 ETH в Tornado Cash, что составляет около 20,7 миллионов долларов.

Девятью днями ранее тот же кластер переместил примерно 2 834,6 ETH, эквивалентных 10,8 миллионам долларов, после того как средства были распределены между сетями и обменяны перед отправкой в миксер.

Ни один из этих всплесков не выглядел поспешным. Оба выглядели как действия осторожного оператора, тестирующего ликвидность и временные рамки соответствия, разбивая депозиты на стандартные номиналы Tornado, которые легко смешивать и сложно отслеживать.

Как произошел взлом Radiant

История Radiant начинается 16 октября 2024 года, когда его кредитные пулы на Arbitrum и BNB Chain были опустошены примерно на 50–58 миллионов долларов. Ранние технические разборы сошлись на простой, но разрушительной причине.

Взлом произошел из-за операционного компромисса с участием держателей ключей и одобрений, что позволило злоумышленнику провести вредоносные транзакции через мультиподписной процесс. Охранные фирмы описали, как подписанты были вынуждены одобрить неверные вызовы.

Проект использовал схему три из одиннадцати для чувствительных действий. Такой широкий круг подписантов улучшал доступность, но увеличивал зону риска для компрометации устройств и социальной инженерии. Анализ Halborn и других показал, как одобрения и гигиена устройств создали окна, которыми воспользовался злоумышленник, а собственные отчеты Radiant уточнили временные рамки и масштаб инцидента.

Позднее в отчетах предполагалось, что поддерживаемая государством группа использовала подделку личности для получения доступа, что Radiant подтвердил после стабилизации ситуации.

CryptoSlate освещал последствия в то время с точки зрения криминальных трендов. В отчете отмечалось, что общие потери от эксплойтов в октябре снизились примерно до 116 миллионов долларов, а инцидент с Radiant составил почти половину этой месячной суммы, сосредоточив значительную часть ущерба в одном месте.

Такой подход важен, потому что он показывает, как один кроссчейн-взлом может существенно повлиять на профиль рисков месяца, даже если в целом ситуация кажется спокойной.

Дальнейшие события в течение года задали нынешний шаблон. Средства выводились из L2 и возвращались в Ethereum через мосты с наибольшей ликвидностью. Свопы консолидировали балансы в ETH для подготовки к смешиванию.

Транш 22–23 октября 2025 года — наглядный пример. CertiK отметил 2 834,6 ETH в депозитах Tornado и указал, что 2 213,8 ETH поступили через мост Arbitrum с EOA 0x4afb, а остальное было получено через конвертацию DAI.

Всплеск 31 октября увеличил общий объем еще на 5 411,8 ETH, с модульными депозитами, соответствующими стандартам пула Tornado. Цепочка прозрачна, маршрут предсказуем, а стимулы поощряют терпение, а не показушность.

Что показывают новые всплески отмывания

Недавняя активность в миксере выглядит скорее как стратегия медленного вывода, чем как единичный выход. Переходы через мосты из Arbitrum или BNB Chain переводят балансы в самые глубокие пулы на основной сети. Ротации на DEX подготавливают запасы в ETH для наиболее эффективных входов в Tornado.

Пакетирование в стандартные номиналы разбивает публичный граф на фрагменты, которые дорого собирать воедино. Несмотря на это, комплаенс-команды все равно многое видят. Они группируют адреса по общим паттернам газа и времени, сопоставляют депозиты с окнами вывода и следят за характерными цепочками, которые начинаются с малого, широко расходятся, а затем агрегируются возле целевой площадки.

Такой подход прагматичен, потому что юридическая среда поощряет прагматизм. Суды сузили самые широкие трактовки правительства относительно санкционирования децентрализованного ПО. Прокуроры выигрывали и проигрывали различные дела, связанные с миксерами.

В результате образовалась серая зона, где инструменты приватности продолжают работать, а биржи полагаются на поведенческие меры контроля вместо универсальных ярлыков. Расследования по-прежнему выявляют выходы. Трение просто смещается с ПО на процессы.

Для пользователей и разработчиков урок ясен. Дизайнерские решения имеют денежные последствия. Мосты и роутеры концентрируют ценность и уязвимости, именно поэтому злоумышленники используют их для вывода средств. Мультичейн-приложения требуют отработанных навыков для остановки, переключения allowlist и снимков ликвидности, а не импровизации сразу после взлома.

Документация Radiant показывает, как реакция со временем ужесточалась. Цена этого обучения была реальной, потому что инициатива была у злоумышленника. Текущие потоки через Tornado Cash — это хвост того же распределения.

Оператор продолжает действовать, потому что инфраструктура все еще работает. Правильный ответ — ужесточение процедур для держателей ключей, более узкие одобрения, мониторинг мостов в реальном времени и культура, в которой устройства подписантов считаются королевскими драгоценностями.

Злоумышленник Radiant, вероятно, продолжит использовать ту же схему, пока условия не изменятся. В Tornado будут поступать депозиты привычных размеров. Активность на мостах будет исходить с адресов, связанных с маршрутами октября 2024 года. Чистый выход в итоге засветится на регулируемой площадке, и трейдеры будут сопоставлять время и эвристику с историями клиентов.

Последствия для рынка предсказуемы. Каждый такой терпеливый выход снижает доверие к кроссчейн-абстракциям и подталкивает команды к аудиту не только кода, но и операций. Пользователи гонятся за доходностью между сетями, потому что опыт кажется бесшовным. Самые искусные воры точно знают, где этот шов скрыт.

Публикация How this millionaire crypto hacker continues to freely cash out a year later впервые появилась на CryptoSlate.