23 февраля 2024 года Джефф Цирлин соучредитель блокчейн-игры Axie Infinity и моста Ronin Bridge подвергся кибератаке. С его кошельков было похищено как минимум $9,7 млн в криптовалюте. Выводы производились в ETH по сети Ethereum на несколько адресов злоумышленника.
На своем канале Джефф Цирлин сообщил, что несанкционированные выводы произошли в связи с компрометацией двух криптокошельков, при этом заверил, что Sky Mavis и сеть Ronin не пострадали, выводы производились с его личных адресов:
«Атака ограничена моими личными аккаунтами и не имеет ничего общего с проверкой или работой сети Ronin.
Кроме того, утечка ключей не имеет никакого отношения к операциям Sky Mavis.
Я хочу заверить всех, что у нас действуют строгие меры безопасности для всей деятельности, связанной с сетью.»
На данный момент не поступало информации о предпринятых попытках пострадавшей стороны связаться со злоумышленником для возврата украденных средств.
Несанкционированные выводы криптовалюты производились в несколько транзакций на три адреса злоумышленника:
Рис.1 - Поступления криптовалюты на адреса злоумышленника.
После чего злоумышленник вывел полученные активы со своих адресов на контракт миксера Tornado Cash:
Рис.2 - Визуализация. Часть транзакций с дальнейшим движением средств с адресов злоумышленника.
С левой стороны визуализации отображены перемещения криптовалюты между адресами злоумышленника. Справа показаны выводы, произведенные на сторонние кошельки. Активы, в размере 0.621635 ETH, были отправлены на адрес, предположительно связанный со злоумышленником, на данный момент сумма находится на этом кошельке. Остальные средства были разделены на транзакции от 1 ETH до 100 ETH и попали на контракт миксинг сервиса Tornado Cash, который смешивает средства нескольких пользователей, что затрудняет дальнейшее отслеживание перемещений криптовалюты.
Этот случай показывает, что атакам могут быть подвержены не только корпоративные сервисы, но и частные кошельки известных людей. В данной ситуации для «отмывания» украденных средств злоумышленник воспользовался услугами миксинг сервиса Tornado Cash. Текущее расположение средств на данный момент не удалось отследить, в связи с многочисленным делением и перемещением активов, в том числе внутренними транзакциями, между адресами миксера криптовалют.
Любые адреса, связанные с миксерами криптовалют имеют разметку высокорискованных. Стоит отметить, что Tornado Cash также находится под санкциями OFAC. Тем не менее его контракты продолжают работать и депозиты с такого источника лучше избегать.
Миксеры криптовалют являются популярным инструментом для «отмывания» средств, в настоящее время решение этой проблемы является сложной задачей. Средства, отправленные в такие сервисы, смешиваются с активами, поступившими с других кошельков, которые могут быть связаны с различной незаконной деятельностью. Во избежание получения высокорискованной криптовалюты на свои кошельки и впоследствии блокировки средств на централизованных платформах, стоит отказаться от использования миксинг сервисов, а также необходимо проверять поступления через специализированные AML-сервисы, которые учитывают полное перемещение криптовалюты для расчета Risk Score адреса.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.