10 ноября биржа Poloniex сообщила о несанкционированном доступе к кошелькам платформы. До приостановки операций злоумышленник успел вывести с биржи ≈$118 миллионов в разных криптовалютах. По неофициальным данным доступ был получен из-за утечки закрытых ключей криптокошельков, об этом сообщалось в сми, которые информируют о событиях в сфере криптовалют. На своем официальном канале компания не предоставила информации, как именно злоумышленник мог получить доступ к кошелькам.
Закрытые (приватные) ключи - это конфиденциальные данные, которые должны храниться в безопасности, поскольку их утечка является потенциальной угрозой и может привести к финансовым потерям.
Poloniex является централизованной биржей с большим выбором криптовалют и возможных методов для торговли. Биржа основана в 2014 году в Уилмингтоне, штат Делавэр (США). На официальном канале компании была размещена информация, что доступ к выводу средств будет возвращен постепенно, после проведения технических работ.
Переговоры и сделка
Poloniex сообщили, что готовы к переговорам со злоумышленником. В качестве сделки было предложено 5% от украденной суммы, если средства будут возвращены в течение 7 (семи) дней. Сообщение было опубликовано 10 ноября 2023 года на официальном канале X (Twitter).
Позднее на адрес злоумышленника было направлено письмо в сети Ethereum:
«Здравствуйте. Poloniex готов увеличить размер вашего вознаграждения. Нашей первоочередной задачей является возврат средств клиентов. Поэтому мы хотим договориться с вами. Какой процент вознаграждения вы хотите получить в обмен на возврат оставшихся средств в Poloniex? Человек, взломавший Curve Finance, оказался «этичным хакером» и после нашего диалога вернул средства обратно в Curve Finance. Мы надеемся, что вы тоже окажетесь «этичным хакером» и вернете большую часть средств обратно в Poloniex. У вас останутся честно заработанные деньги. Просто напишите нам сумму желаемого вознаграждения.»
Рис.1 - Хэш транзакции с сообщением:
0xbd2ecb07095aa07d828fb2299e7a111485cc68463183fea32cdab61199e489ce
Через несколько дней, Poloniex направили новое обращение, повысив вознаграждение до $10 000 000 при условии, что остальная часть будет возвращена до 25 ноября 2023 года на адреса, указанные в сообщении:
«Мы уже подтвердили вашу личность, в расследование вовлечены полицейские силы Китая, США и России. Все украденные средства помечены для отслеживания и не могут быть использованы, а финансы будут заморожены. Верните средства до 25 ноября 2023 года, и мы предложим вознаграждение в размере $10 миллионов. Если они не вернутся к этому времени, полиция многих стран примет меры.»
Рис.2 - Хэш транзакции с сообщением:
0x87383693584db90e2b5c5fdb16d98f168b7a7005f32869275e6d477d5576ba0c
В настоящее время, информации о выходе злоумышленника на связь и возврате украденных средств не поступало.
Расследование КоинКит:
Выводы с Poloniex производились в нескольких валютах. Подробнее будут рассмотрены: BTC, USDT, USDC, ETH, TRX.
-
Вывод в BTC:
В BTC с адреса Poloniex было отправлено две транзакции, общей суммой 501.630835 BTC
Рис.3 - Визуализация КоинКит
Изначально было отправлено 501.630835 BTC, однако получателю было доставлено ровно 500 BTC. Часть суммы вернулась обратно на кошелек биржи с вычетом комиссии сети, ввиду особенностей обработки транзакций в сети Bitcoin. Далее злоумышленник вывел 1.627058 BTC следующей транзакцией. В настоящее время, вся сумма остается на кошельке злоумышленника.
-
Вывод в USDT:
Средства в USDT были разделены между контрактами:
Рис.4 - Визуализация КоинКит
Более детальный анализ показывает, что средства в usdt были направлены напрямую на кошелек злоумышленника, с которого переведены на следующий его кошелек. Далее разделены на несколько транзакций и отправлены на DeFi платформы. Одна из транзакций направлена на адрес неизвестного контракта.
На контракты DeFi платформы Uniswap было отправлено несколько транзакций, где произведен обмен на другой токен «wrapped ether», далее средства передвигались между другими адресами Uniswap.
Сумма в 3030539.88 USDT была направлена на адрес неизвестного контракта, далее, переведена на кошелек DeFi платформы, откуда средства вернулись обратно на неизвестный контракт с обменом на токен «wrapped ether». Более наглядно движение средств можно описать следующей схемой:
Рис.5 -В примере показан обмен 3030539.88 USDT на wrapped ether.
-
Вывод в USDC:
Средства в USDC были разделены на 11 адресов, среди них есть обычные адреса, адреса контрактов и несколько DeFi платформ:
Рис.6 - Визуализация КоинКит
С адреса Poloniex 4980102.97 USDC были отправлены напрямую на адрес злоумышленника, далее на следующий его адрес. После этого сумма была разделена и перенаправлена на 11 адресов. В визуализации после адресов злоумышленника движение средств показано сразу в несколько шагов, все это создает сложную картину перемещения активов. В основном USDT были отправлены на адреса контрактов и далее переведены на следующий адрес или несколько адресов.
Детальнее передвижение средств в USDC отображено в примере:
Рис. 7 - В примере показано движение средств (200 000 USDC) с участием онлайн кошелька и контракта
В примере показано, как USDC с адреса злоумышленника были отправлены на онлайн кошелек (MetaMask), с него переведены на адрес контракта, далее средства вернулись обратно на онлайн кошелек с обменом на токен «wrapped ether». Примерно таким же образом передвигались остальные средства в USDC.
Общий процент полученных средств различными адресами выглядит следующим образом:
Рис. 8 - Диаграмма классификации адресов
Вывод в ETH:
В ETH средства передвигались небольшими суммами на разные криптовалютные адреса:
Рис.9 - Визуализация КоинКит
С адреса Poloniex ETH были отправлены несколькими транзакциями на один адрес. Далее, 4800 ETH были переведены на следующий адрес, предположительно, связанный со злоумышленником. В настоящее время, 4800 ETH остаются на данном адресе. Остальные средства были разделены на небольшие суммы по 0.5 ETH и отправлены на разные криптовалютные адреса.
-
Вывод в TRX:
В TRX было произведено несколько выводов, на один адрес, далее разделены на разные криптовалютные адреса:
Рис.10 - Визуализация КоинКит
С адреса Poloniex TRX были отправлены несколькими транзакциями на один адрес злоумышленника, а после основная часть вывода была разделена между двумя адресами. В настоящее время средства находятся на этих адресах. Остаток средств раскидан на разные криптовалютные адреса небольшими суммами от 100 TRX до 1000 TRX.
Итоги расследования:
При изучении движения средств можно заметить, что злоумышленник пользовался одним адресом для приема средств в USDT, USDC и ETH: «0x0a5984f86200415894821bfefc1c1de036dbf9e7»
Рис.11 - Визуализация КоинКит
Далее средства пересылались на следующий его адрес, контракты или адреса различных платформ.
Каждый раз злоумышленник сначала выводил с Poloniex средства на свой кошелек, а далее разделял суммы между другими адресами. В том числе используя DeFi платформы, контракты и возможно, миксеры криптовалют, с целью запутать движение средств.
В настоящее время нам удалось найти часть украденных у Poloniex средств - это адреса злоумышленника или адреса, связанные с ним. Другая часть средств была отправлена через DeFi платформы или неизвестные контракты, после которых становится сложнее точно отследить дальнейшее движение средств.
DEX-платформы стали широко используемым методом для «отмывания» незаконно полученных средств, в настоящее время решение этой проблемы представляется сложной задачей. Каждой платформе важно более серьезно относиться к активам, поступающим с подобных источников и использовать AML-сервисы, которые могут показать информацию по адресу, связи кошелька и детали Risk Score, чтобы избежать получение «грязных» активов.
Данный инцидент подчеркивает серьезность последствий несанкционированного доступа. Любая информация, несущая в себе конфиденциальные данные и данные, предоставляющие доступ к платформе должны быть основательно защищены и храниться в надежном месте, доступном только авторизованным пользователям.
В криптоиндустрии каждое действие оставляет цифровой отпечаток, любые незаконные действия не могут остаться незамеченными. Все связанные с ними криптокошельки будут выявлены и размечены в кратчайшие сроки, а помощь правоохранительных органов предоставляет возможность идентифицировать злоумышленников в реальной жизни.
P.S. Этот материал не оценивает произошедшее событие. Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.