كانت منصة eXch من أبرز أدوات تبادل العملات الرقمية التي استخدمها القراصنة ومشغّلو الخدمات الإجرامية لتصريف الأموال، قبل أن تُغلق رسميًا على يد الشرطة الألمانية في أبريل الماضي. ومع ذلك، تشير مؤشرات حديثة إلى أن المنصة قد تكون لا تزال تعمل في الخفاء، ما يُثير تساؤلات حول مدى فعالية الإغلاق.

eXch لم تكن منصة تبادل تقليدية فهي لم تطبّق إجراءات اعرف عميلك (KYC)، ما جعلها بيئة مثالية للمجرمين السيبرانيين الذين يتطلعون للعمل بعيدًا عن أعين السلطات.

وقد أصبحت المنصة محط الأنظار بعد أن استخدمتها مجموعة لازاروس وحدة قرصنة مدعومة من كوريا الشمالية لتصريف جزء من 1.4 مليار دولار تمت سرقتها من منصة Bybit في فبراير. وعندما تتبعت Bybit الأموال المسروقة إلى eXch وطلبت التعاون، رفضت المنصة ذلك، مما فجّر جدلًا حادًا بين أنصار الخصوصية ودعاة الأمن.

في 17 أبريل، أعلنت eXch عن إغلاق خدماتها، وتم تأكيد الإغلاق رسميًا من قبل السلطات الألمانية في 30 أبريل. لكن وفقًا لتقرير أمني صادر عن شركة TRM Labs، فإن المنصة قد تكون واصلت العمل في الخفاء.

إغلاق الواجهة الأمامية... والإبقاء على "الباب الخلفي" مفتوحًا

نُشر إعلان على موقع eXch عقب الإغلاق، جاء فيه أن المنصة لن تسهّل أي نشاط إجرامي بعد الآن — لكن الرسالة حُذفت خلال ساعات، وعادت العمليات بصمت. وفقًا لـTRM، قد يُشير هذا إلى خلاف داخلي أو محاولة مدروسة لتقليل الظهور الإعلامي.

تدفّقات الأموال المرتبطة بمحتوى CSAM تم تتبّعها إلى منصة eXch. المصدر: TRM Labs

وصادرت السلطات الألمانية خوادم المنصة و34 مليون يورو (38 مليون دولار) من العملات المشفرة، إضافة إلى أكثر من 8 تيرابايت من البيانات، ما أدى إلى تفكيك بنيتها التحتية العامة.

لكن بحسب جيريمياه أونور، الشريك المؤسس ومدير التكنولوجيا في شركة Trugard، فإن eXch واصلت تقديم خدماتها لعدد محدود من الشركاء عبر واجهات API، حتى بعد إغلاق الواجهة الرسمية.

وأضاف:

"كما رأينا مع منصة Garantex التي أعادت إطلاق نفسها باسم Grinex، لم تنتهِ eXch فعليًا بعد الإغلاق... استمرت في تسهيل أنشطة التبييض."

تمت زيارة موقع eXch في 13 مايو. المصدر: eXch

 

واستفادت eXch من العمل عبر عدة دول: فالنطاق تم تسجيله عبر مزود بريطاني، وعنوان الإدارة كان في سويسرا، والبنية المستضيفة في فرنسا، أما الخوادم فتمت مصادرتها في ألمانيا.

بدون تحقق هوية وبسيولة مدمجة: eXch نقطة جذب للأنشطة غير المشروعة

وفقًا لـ"Fantasy"، المحقق في شركة Fairside Network، تعود جذور eXch إلى عام 2014، حين ظهرت لأول مرة كحساب في منتدى BitcoinTalk يعرض تبادلًا تلقائيًا بين بيتكوين وPerfect Money وكوبونات BTC-e وكلها أدوات معروفة باستخدامها في المعاملات عالية المخاطر.

ووجد Fantasy أن المحفظة الأصلية للمنصة كانت ممولة من بورصة BTC-e، التي أُغلقت لاحقًا من قبل السلطات الأمريكية في 2017 بتهم غسيل أموال.

النسخة الحديثة من eXch ظهرت عام 2022، عندما تم تمويل محفظتها الساخنة على Ethereum. وسرعان ما أصبحت نقطة عبور أساسية لـشبكات تصريف الأموال المسروقة، مثل Monkey Drainer وPink Drainer وInferno Drainer، الذين استخدموا المنصة لتبييض أموال مسروقة.

محافظ eXch الحديثة تم تتبّعها إلى حسابات على منصّتي Binance وOKX. المصدر: Fantasy/MetaSleuth

كما تتبعت التحقيقات محافظ eXch الحديثة إلى حسابات في منصات مثل Binance وOKX.

وبغياب إجراءات التحقق من الهوية، كانت المنصة ملاذًا مفضلًا للقراصنة، حيث وفرت سيولة مدمجة تُخفي مصدر الأموال وتُصعّب على الجهات الأمنية تتبّعها.

عندما علمت eXch وامتنعت عن التدخل

في إشعار الإغلاق، أنكرت eXch أي صلة بتبييض أموال لصالح قراصنة كوريا الشمالية، ووصفت نفسها بأنها "محاولة لإعادة التوازن في الصناعة"، موجهة انتقادات حادة لقوانين مكافحة غسل الأموال وللشركات التي توفر أدوات تصنيف المخاطر.

وقالت غال أراد كوهين، شريكة في شركة S. Horowitz & Co:

"مزودو الخدمات في مجال الكريبتو مثل eXch غالبًا ما يكونون غير لامركزيين شكليًا فقط، لكنهم يحتفظون فعليًا بالتحكم في أصول المستخدمين، ما يُحمّلهم نفس المسؤوليات التنظيمية التي تتحملها المؤسسات المالية التقليدية."

من جهته، رأى أليكس كاتز، الرئيس التنفيذي لشركة الأمن السيبراني Kerberus، أن إغلاق eXch يُعد "نصرًا كبيرًا لقطاع الكريبتو"، لكنه حذّر من أن الجهات الإجرامية قد تنتقل ببساطة إلى منصات بديلة، مثل THORChain، التي ذُكرت بشكل إيجابي في منشور eXch الوداعي.

في اختراق Bybit، تم استخدام بروتوكول THORChain لتبديل نحو 500 ألف ETH إلى بيتكوين. وتشير التقارير إلى أن مشغلي eXch استخدموا أيضًا THORChain لإخفاء أثر المعاملات.


كما استخدم مشغّلو eXch بروتوكول THORChain لمحاولة إخفاء آثار المعاملات. المصدر: Tanuki42

في منشور الوداع، قالت eXch إن الشركاء الحاليين سيحتفظون بوصول مؤقت إلى واجهة API، وأشارت إلى أن العمليات المستقبلية تعتمد على "فريق الإدارة الجديد"، مع توصية بإعداد مجمّعات سيولة جديدة للحفاظ على استمرارية الخدمة. وختمت المنصة رسالتها بتصريح متحدٍّ:

"الخصوصية ليست جريمة."

وبحسب السلطات الألمانية، تدفّق عبر eXch منذ إنشائها أكثر من 1.9 مليار دولار من العملات المشفرة، ويُشتبه في تورّط مشغليها في غسل أموال تجاري وتشغيل منصة تداول إجرامية.