20 сентября 2024 года в новостных источниках появилась информация о взломе централизованной криптовалютной биржи BingX. Стало известно, что с платформы было похищено около $43 млн. Потерпевшей стороной не сообщается точная сумма похищенных средств, а также не раскрываются детали взлома. На данный момент неизвестно как доступ к кошелькам платформы перешел злоумышленникам.
На своем канале Х (Twitter)* компания сообщила о приостановке вывода средств пользователей и подтвердила факт атаки на горячий кошелек:
________________________
«В 4 утра (SGT) 20 сентября наша команда обнаружила несанкционированный доступ к горячему кошельку BingX, заподозрив хакерскую атаку. Мы немедленно инициировали экстренное реагирование, включая переводы активов и приостановку выводов.
На данный момент потери незначительные, и мы с этим справились. Большинство активов под защитой на холодных кошельках, и только небольшая часть затронута на горячем кошельке.
Чтобы защитить средства пользователей, мы продлеваем время ограничений на пополнение и вывод средств, одновременно усиливая безопасность. Монеты будут обработаны в течение 24 часов. Приносим извинения за неудобства и ценим ваше понимание!»
________________________
*социальная сеть запрещена на территории РФ
На следующий день вывод средств был восстановлен:
________________________
«Мы рады сообщить, что услуги вывода средств снова доступны! Ваши средства в безопасности, и наша команда продолжает усиливать меры по их защите в будущем.»
_______________________
В этом материале будут рассмотрены выводы средств с кошелька BingX в ETH, USDT и USDC, а также дальнейшее движение средств с адреса злоумышленника.
Детали расследования: визуализация движения криптовалюты через адреса злоумышленника
Выводы криптовалюты производились на четыре адреса злоумышленника, с адреса 0xa88f86e5685fca7c5d6de0e4d944875b007137b5, принадлежащего централизованной бирже BingX.
Первый адрес злоумышленника: передвижение средств в в токенах ETH, USDT, USDC на адрес 0xf7e8033366166f92eb477b7b38e0d47d47b43326
Движение средств в ETH
На адрес злоумышленника было отправлено 13.39498955 ETH. После чего вывод в той же криптовалюте не последовал. В данном случае злоумышленник вероятнее всего использовал смарт-контракты для обмена криптовалюты в другой токен. А также активы могли переводиться внутренними транзакциями.
Рис. 1. - Визуализация. Вывод криптовалюты в ETH на адрес 0xf7e8033366166f92eb477b7b38e0d47d47b43326, принадлежащий злоумышленнику.
Движение средств в USDC
Криптовалюта, полученная в USDC была отправлена на адреса смарт-контрактов. В общей сумме с адреса биржи было выведено 32595.91 USDC.
Рис. 2. - Визуализация. Вывод криптовалюты в USDC на адрес 0xf7e8033366166f92eb477b7b38e0d47d47b43326, принадлежащий злоумышленнику.
Движение средств в USDT
С адреса биржи было выведено 1724030.76 USDT одной транзакцией. После чего злоумышленник произвел две транзакции на вывод средств. Криптовалюта была отпра
влена на адреса смарт-контрактов, где произошел обмен криптовалюты в токен WETH.
Рис. 3. - Визуализация. Вывод криптовалюты в USDT на адрес 0xf7e8033366166f92eb477b7b38e0d47d47b43326, принадлежащий злоумышленнику.
Второй адрес злоумышленника: передвижение средств в токенах ETH, USDT, USDC на адрес 0x940362b46faf7df48af1c8989d809f50466b5fca
Движение средств в ETH
Злоумышленник получил 6.551592 ETH с централизованной биржи BingX, после чего вывел полученные средства, включая криптовалюту полученную из иных источников и внутренними транзакциями на другой свой адрес 0x1dd7daf089c16856155fefd7e2170966bb6b3aee. На данный момент криптовалюта в размере 1337.98510513 ETH находится на адресе злоумышленника.
Рис. 4. - Визуализация. Вывод криптовалюты в ETH на адрес 0x940362b46faf7df48af1c8989d809f50466b5fca, принадлежащий злоумышленнику.
Движение средств в USDC
Криптовалюта в размере 332926.12 USDC была отправлена на адрес злоумышленника. После чего выведена на адреса смарт-контрактов, где произведен обмен в токен WETH.
Рис. 5. - Визуализация. Вывод криптовалюты в USDC на адрес 0x940362b46faf7df48af1c8989d809f50466b5fca, принадлежащий злоумышленнику.
Движение средств в USDT
Криптовалюта в размере 2864698.13 USDT была отправлена на адрес злоумышленника. После чего выведена на адреса смарт-контрактов, где произведен обмен в токен WETH.
Рис. 6. - Визуализация. Вывод криптовалюты в USDT на адрес 0x940362b46faf7df48af1c8989d809f50466b5fca, принадлежащий злоумышленнику.
Третий адрес злоумышленника: движение средств в ETH на адрес 0xb0146aec3593410c8307b570af69adf4d74678b3
Движение средств в ETH
На адрес злоумышленника поступило 114.18215358 ETH, которые в неизменном виде были перемещены на адрес 0xf36dd342a1d1c63aaddf9a95226349e527917ff3, возможно принадлежащий злоумышленнику. На данный момент полученная сумма хранится на этом адресе.
Рис. 7. - Визуализация. Вывод криптовалюты в ETH на адрес 0xb0146aec3593410c8307b570af69adf4d74678b3, принадлежащий злоумышленнику.
Четвертый адрес злоумышленника предположительно хранит часть украденных средств
Похищенная криптовалюта может находиться на адресе 0x1dd7daf089c16856155fefd7e2170966bb6b3aee. По данным blockscan, на адресе хранится более $16 млн в различных сетях.
Заключение
Большая часть криптовалюты была отправлена через смарт-контракты, а также злоумышленник проводил внутренние транзакции на своих адресах.
Подобные способы обмена и переводов средств нередко затрудняют дальнейшее отслеживание передвижения криптовалюты.Чтобы избежать попадания высокорискованных депозитов на ваши кошельки используйте специализированные AML-сервисы,
которые ведут актуальную базу мошенников и показываю связи адреса со всеми известными участниками рынка, а также оценивают их Risk Score.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.