23 января в новостных источниках появилась информация о подозрительных выводах с горячими кошельками централизованной криптобиржи Phemex. Выводы осуществлялись в различных криптовалютах и с использованием разных сетей, общий ущерб от инцидента составил ≈ 70 миллионов долларов. Как именно злоумышленники получили доступ к кошелькам биржи на данный момент неясно.
На своём канале X (Twitter) Phemex подтвердил факт несанкционированного доступа к кошелькам платформы и приостановил вывод средств для проведения технических работ:
«В целях обеспечения безопасности вывод средств временно приостановлен, сейчас мы проводим экстренную проверку и усиливаем сервисы кошельков. Приносим извинения за доставленные неудобства. Вывод средств будет восстановлен в ближайшее время. Phemex и команда разработчиков приносят извинения за сбой. Наша миссия по обеспечению бесперебойной и надежной торговой среды остается неизменной. Мы работаем над планом компенсаций, который будет обновлен в ближайшее время. Благодарим за понимание и постоянную поддержку»
В этом расследовании будет подробно рассмотрено, как происходил вывод криптовалюты с горячих кошельков Phemex и как далее перемещались украденные средства в USDT и USDC по сети ETH.
Детали расследования: визуализация движения украденных активов
1. Вывод средств в USDT
Сначала на один из адресов злоумышленников поступила криптовалюта в USDT. После этого средства были выведены на Dex-платформы, онлайн-кошелек MetaMask, а также на смарт-контракты. В результате, токены USDT были изменены на ETH. Затем криптовалюта была возвращена на предыдущий шаг и отправлена на другой адрес злоумышленников. На момент написания статьи часть украденных средств хранится там.
Рис. 1. Перемещение USDT через Dex-платформу, MetaMask и смарт-контракты
2. Перемещение средств в USDC
С украденными активами в USDC ситуация развивалась схожим образом. Криптовалюта была переведена на Dex-платформы, где она была конвертирована в wrappedETH. Затем средства вернулись на предыдущий этап и были переведены на новый адрес злоумышленников.
Рис. 2. Дальнейшее движение криптовалюты через разные кошельки и платформы
3. Механизм дальнейших выводов
После того как средства были изменены на ETH или wrappedETH, их вывели с платформы через различные кошельки и адреса. Злоумышленники использовали несколько шагов для «перепутывания» транзакций, что затруднило отслеживание движения средств.
Итоги расследования
Информация о взломах Phemex стала поводом для обсуждения уязвимостей в системе безопасности централизованных криптобирж. Пока неясно, как именно был осуществлен доступ к кошелькам биржи. Ущерб от инцидента составил ≈ 70 миллионов долларов.
SEO CoinKYT, Виталий Горбенко отмечает — «Инциденты такого масштаба подчеркивают важность комплексной системы безопасности для централизованных криптобирж. Проблемы с безопасностью могут привести не только к финансовым потерям, но и к утрате доверия со стороны пользователей. В таких ситуациях крайне важно оперативно реагировать, приостанавливать операции и проводить тщательные проверки. Вдобавок, для предотвращения подобных инцидентов, криптобиржи должны внедрять более продвинутые системы мониторинга и анализа транзакций, например, такие, как CoinKYT».
