11 сентября 2024 года в криптосообществе разошлась новость о несанкционированных выводах криптовалюты с адресов централизованной индонезийской биржи криптовалют (криптобиржи) Indodax. Выводы производились в разных токенах, среди которых среди них ETH, USDT, USDC, BTC и различные другие криптовалюты. Ущерб составил ≈$22 млн.
Доступ к сайту и возможность проведения операций на бирже были ограничены на два дня.
Рис. 1. Информация, отображенная при переходе на сайт биржи Indodax.
На своем X (Twitter)* канале компания подтвердила уязвимость в системе безопасности и объявила о проведении технических работ для устранения проблемы:
*социальная сеть запрещена на территории РФ
Рис. 2. обращение биржи Indodax к пользователям на канале X (Twitter)*.
*социальная сеть запрещена на территории РФ
“Мы хотели бы сообщить вам, что наша команда безопасности обнаружила потенциальные признаки( нарушения безопасности) на нашей платформе.
В настоящее время мы проводим комплексное техническое обслуживание, чтобы обеспечить правильную работу всей системы. Во время процесса обслуживания веб-платформа и приложение INDODAX временно недоступны. Но не волнуйтесь, мы можем гарантировать, что ваш баланс останется на 100% в безопасности как в криптовалюте, так и в рупиях.
Мы благодарим вас за терпение и доверие. Этот процесс нужен для обеспечения безопасности и комфорта ваших транзакций. Мы предоставим дополнительную информацию, как только расследование будет завершено.”
На данный момент неизвестно как злоумышленники получили доступ к кошелькам биржи.
В этом материале будет рассмотрен вывод средств с криптобиржи Indodax на адрес злоумышленника и дальнейшее движение средств.
Детали расследования: визуализация движения средств злоумышленника
23 BTC: вывод средств
В BTC криптовалюта была отправлена напрямую на адрес злоумышленника:
Рис. 3. Визуализация перемещения криптовалюты с адреса биржи на адрес злоумышленника.
На рис.3 видно, что с адреса биржи криптовалюта в десяти транзакциях была отправлена на адрес bc1q5uqpn0ha5llrvhcvkq3nfalp8fj7qe3rydcvmf, принадлежащий злоумышленнику.
Общая сумма вывода с биржи - 23 BTC. На данный момент на отмеченном адресе хранится 25,01 BTC, включая украденную криптовалюту и иные транзакции.
В USDT, USDC и ETH криптовалюта была отправлена на адрес 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащий злоумышленнику:
Рис. 4. Визуализация перемещения криптовалюты в USDT с адреса биржи через адрес 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащий злоумышленнику.
1 980 000 USDT: вывод средств
На рис. 4 видно, как с биржи Indodax было произведено два вывода, общей суммой 1 980 000 USDT. Эти средства поступили на адрес злоумышленника, после чего разделены на две транзакции по 950 000 USDT и одну на 80 000 USDT. Все они были отправлены на адреса контрактов Dex-платформ и неизвестные контракты.
Рис. 5. Визуализация перемещения криптовалюты в USDC с адреса биржи через адрес 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащий злоумышленнику.
242 000 USDC: вывод средств
На рис. 5 USDC криптовалюта перемещается почти таким же образом, как и в USDT. Полученная сумма была разделена между контрактами Dex-платформ и неизвестными смарт-контрактами.
В общей сложности было получено 242 000 USDC, которые двумя транзакциями 200 000 USDC и 42 000 USDC были отправлены на адреса смарт-контрактов.
Рис. 6 - Визуализация перемещения криптовалюты в ETH с адреса биржи на адрес 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащий злоумышленнику.
666,5 ETH: вывод средств
Также злоумышленник произвел два вывода в ETH, суммами 660 ETH и 6.5 ETH. Далее они также были выведены с адреса злоумышленника.
Рис. 7 - Визуализация перемещения криптовалюты с адреса злоумышленника.
В смарт-контрактах средства в USDT и USDC были преобразованы в WETH. Затем криптовалюта была возвращена на адрес злоумышленника в виде токена ETH.
На рис.7 видим, как полученная сумма в размере 5 204 ETH была перемещена на адрес 0x59101e532bc728599a2d373fcdc7aff58cb48df8, возможно, связанный со злоумышленником.
16 741 991.221675 TRX: вывод средств
Также часть средств хранится на адресе TBooefeY6FvGuyKfvp5yE1HmzhzvXnvA1P, принадлежащем злоумышленнику.
Рис. 8 - Визуализация перемещения криптовалюты в TRX с адреса биржи на адрес TBooefeY6FvGuyKfvp5yE1HmzhzvXnvA1P, принадлежащий злоумышленнику
В TRX криптовалюта была выведена тремя транзакциями. Общая сумма, полученная злоумышленником в TRX - 16 741 991.221675 TRX.
Помимо рассмотренных перемещений криптовалюты, известны адреса в сетях Polygon и Optimism, на которых также хранится украденная криптовалюта.
Рис. 9 - Баланс адреса 0x90fffbc09e9a5f6d035e92d25d67e244ef5e904f, принадлежащего злоумышленнику, в сети Polygon
На адресе 0x90fffbc09e9a5f6d035e92d25d67e244ef5e904f, принадлежащем злоумышленнику в сети Polygon, на данный момент хранится ≈6.8 млн POL. Переводы поступали с уже отмеченного адреса 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащего злоумышленнику.
Рис. 10 - Баланс адреса 0x3b8f1131a20e131c195bda6fdd6e9be38935eb6d, принадлежащего злоумышленнику, в сети Optimism
На адресе 0x3b8f1131a20e131c195bda6fdd6e9be38935eb6d, принадлежащем злоумышленнику в сети Optimism, на данный момент хранится ≈380 ETH. Переводы поступали с адреса 0xb0a2e43d3e0dc4c71346a71484ac6a2627bbcbed, принадлежащего злоумышленнику.
Итоги расследования:
При обнаружении подозрительной активности на кошельках необходимы незамедлительные действия со стороны службы безопасности платформы. Биржей Indodax было принято решение ограничить доступ к сайту. В подобных случаях такие действия помогают приостановить несанкционированные выводы с платформы, и защищают активы пользователей от возможных рисков, минимизируя потенциальные финансовые потери.
Dex-платформы стали часто используемым методом для «отмывания» незаконно полученных средств. В данном случае злоумышленник использовал смарт-контракты и Dex-платформы для обмена криптовалюты в другой токен. Использование Dex-платформ может затруднить дальнейшее отслеживание средств, ввиду особенностей работы децентрализованных обменных сервисов. Поэтому важно следить за новостным фоном вокруг подобных платформ и использовать AML-сервисы, которые в кратчайшие сроки размечают такие адреса как высокорискованные, в связи с этим злоумышленникам становится сложнее «отмыть» и обналичить незаконно полученные активы.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.