4 ноября казино Metawin потеряли $4 млн. в результате несанкционированного доступа к кошелькам платформы. Компания не раскрывает подробностей взлома, поэтому неизвестно как злоумышленники получили доступ к техническим кошелькам.
Вследствие инцидента, платформа приостановила операции на платформе для проведения технических работ. На данный момент доступ восстановлен.
________________________
«Сегодня мы столкнулись с атакой, в ходе которой злоумышленник смог снять значительную сумму с наших горячих кошельков, воспользовавшись нашей бесперебойной системой вывода средств. Мы внедрим дополнительные меры безопасности для новых пользователей, а также изучим способы поддержания гибкого и бесперебойного опыта для нашего доверенного сообщества».
________________________
Ричард Скелхорн, основатель и генеральный директор MetaWin
В этом материале будет рассмотрено перемещение криптовалюты в сети eth через адреса злоумышленников.
Детали расследования: визуализация движения криптовалюты через адреса злоумышленника
Изначально, на один из кошельков злоумышленников поступило пополнение на сумму 0.252127 eth двумя транзакциями с криптобиржи HitBTC. После этого средства были отправлены на два адреса злоумышленника
Рис.1. Движение 0.252127 eth через адреса мошенников
Подготовка 16 адресов для рассылки
Далее, один из адресов отправил часть полученных средств на dex-платформу Uniswap.
Второй адрес совершил 16 операций по 0,008 eth, которые попали на кошельки злоумышленника.
Рис. 2. Злоумышленник делит 0.191144 eth на 16 частей и отправляет 0,060983 eth на Uniswap
Рассылка транзакций
C16 адресов преступника была произведена рассылка транзакций, равных 0.0075 ETH, на Metawin. На один из адресов поступило 0.07340681 ETH, из которых 0.07325 ETH были переведены на криптовалютную биржу HitBTC.
Рис.3. 16 операций с кошельков мошенников на Metawin
После рассылки: реализация вывода
Злоумышленники начали выводить криптовалюту из кошельков казино Metawin.
Через время злоумышленник начал выводить криптовалюту через большинство своих адресов, адреса, владельцы которых неизвестны, и криптовалютные биржи.
Визуализация от адреса, принадлежащего казино Metawin
Первая цепочка связей
С некоторых адресов средства не были выведены и хранятся у злоумышленника.
Рис.4. Два кошелька злоумышленников, на которых движение украденных средств остановилось
Вторая цепочка связей
С кошельков злоумышленников было совершено несколько транзакции на адреса, владельцы которых неизвестны.
Рис.5. Движение украденных 95.01087 eth, которые остановились на адресах неизвестных владельцев
Третья цепочка связей
Злоумышленники также осуществляли переводы через адрес Metawin, сначала отправляя украденные средства в казино, а затем пересылая их обратно себе или неизвестным пользователям, на dex-платформы и криптовалютные биржи.
Рис.6. Движение украденных eth через адреса мошенников, неизвестных пользователей, казино и попавших на биржу
Четвертая цепочка связей
Движение украденной криптовалюты осуществлялось между кошельками мошенников. Сначала они перевели некрупную сумму на metawin, а после совершили транзакцию вывода на свой адрес обратно.
В данном случае рассылка производилась на 18 адресов, связанных со злоумышленниками. Перемещение криптовалюты на всех кошельках схоже с вышеописанными операциями.
Рис.7. Рассылка украденных eth на 18 адресов
Помимо выводов в токене ETH были выводы в USDT и USDC
В токенах USDT и USDC прослеживается такой же способ вывода. Злоумышленники отправили сумму не более $50 на адрес Metawin и после вывели криптовалюту обратно на свои кошельки
В данном случае криптовалюта была отправлена на адреса dex-платформ, где токен изменился на wrappedeth. Далее сумма предположительно вернулась злоумышленникам через внутренние транзакции. На некоторых адресах злоумышленников на данный момент также хранится криптовалюта, полученная в eth.
Рис.8. Движение USDT и USDC через адреса мошенников
Итоги расследования
Атака была нацелена на один из горячих кошельков платформы. Злоумышленники отправляли небольшую сумму криптовалюты на адрес казино, после чего производили вывод средств. Основная часть средств после атаки хранится на адресах злоумышленников и адресах, владельцы которых неизвестны. Также доля украденных активов была отправлена на криптовалютные биржи.
Сейчас известны 82 адреса злоумышленников в сети Ethereum, которые размечены в системе как высокорискованные. Адреса принявшие и хранящие криптовалюту также имеют показатели Risk Score 100%.
Казино не прокоментировала причины эксплойта, поэтому остаеются неизвестным фактор уязвимости системы и механизм хакерской атаки. Для реализации взлома злоумышленники подготовили множество активных адресов для вывода средств, совершали прямые транши из казино и не пытались скрыть происхождение украденной крипты. Характер атаки выглядит специфически и возможно нацелена на «frictionless withdrawal system», функцию в Metawin, которая ускоряет вывод средств с платформы.
Выводы
В 2024 году на фоне бычьего рынка проиходит масштабный приток капитала в индустрию, и вместе с этим активизируются злоумышленники. Казино Metawin — это одна из многих атак, которые совершаются ежедневно. Хакеры нацелены на высоколиквидные проекты с слабозащищенными системами без KYC, проверок AML и других инструментов безопастности.
Чтобы избежать попадания высокорискованных депозитов на ваши кошельки, используйте специализированные AML-сервисы, которые ведут актуальную базу мошенников и показывают связи адреса со всеми известными участниками рынка, а также оценивают их Risk Score.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
