17 февраля 2024 года криптовалютный обменный сервис FixedFloat подвергся взлому. Было похищено как минимум $26 млн в криптовалюте.
Изначально, компания объяснила отток средств «техническими проблемами», но через несколько часов на их официальном канале Х (Twitter) информация о несанкционированном доступе и хищении активов была подтверждена:
«Подтверждаем, что взлом и хищение средств действительно имели место. Мы пока не готовы давать публичные комментарии по этому поводу, так как работаем над устранением всех возможных уязвимостей, повышением безопасности и расследованием. Скоро наш сервис снова будет доступен.
Подробности по этому делу мы сообщим чуть позже.»
FixedFloat - это не кастодиальный, автоматизированный сервис для обмена криптовалют и токенов, запущенный в 2018 году. В комментариях на канале Х, на вопрос подписчика платформа сообщила, что средства пользователей не пострадали.
«Финансовые потери затронули только наш сервис, средства пользователей не пострадали. Также хотим подчеркнуть, что FixedFloat не выполняет функции кастодиального сервиса, то есть не хранит средства пользователей. Более подробную информацию мы предоставим позже.»
Пока что компания не предпринимала попытки связаться со злоумышленником для возврата средств и не дает публичных комментариев о сложившейся ситуации. Как доступ к управлению кошельками компании попал к злоумышленнику на данный момент неизвестно.
В данной статье будут рассмотрены визуализации перемещения активов с адресов FixedFloat на кошельки злоумышленника и последующие операции с участием этих средств.
Анализ движения средств:
В ETH было произведено несколько выводов, общей стоимостью 1728 ETH (≈ $5,8 млн). Все транзакции были направлены на один адрес злоумышленника:
рис.1. - Визуализация. Перевод средств с обменного сервиса FixedFloat на адрес 0x85c4ff99bf0ecb24e02921b0d4b5d336523fa085, принадлежащий злоумышленнику.
Далее, часть полученных активов была разделена на несколько транзакций и отправлена на четыре криптовалютных адреса, вероятнее всего связанные со злоумышленником:
рис.2. - Визуализация. Дальнейшее движение средств с адреса 0x85c4ff99bf0ecb24e02921b0d4b5d336523fa085, принадлежащего злоумышленнику (часть 1)
В рис.2 можно заметить, что средства перемещаются практически одинаково. В основном криптовалюта передвигается в 1-3 шага до поступления на известные источники, чаще всего в неизменном виде. Но также есть перемещения, которые могут немного отличаться. Для более детального анализа можно визуально разделить визуализацию на 3 части и рассмотреть дальнейшее движение средств со второго шага (от адреса злоумышленника):
- Сверху расположен адрес 0x2c01cab6ebf147e4d5d4db01582f16ebcff22d8f, получивший две транзакции общей стоимостью 0.2 ETH. На данный момент средства хранятся на этом адресе, дальнейшего движения средств не осуществлялось.
- Три адреса, расположенные под ним, перемещают криптовалюту схожим образом, практически в неизменном виде. В итоге можно увидеть, что, пройдя небольшой путь, активы поступают на адреса, принадлежащие централизованной бирже HitBTC и обменному сервису exch.
- Последний адрес, расположенный снизу, в одной из транзакций также повторяет перемещение, описанное в пункте 2, пересылая средства обменному сервису exch, который в свою очередь отправляет полученные средства на другой свой адрес 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123.
В других переводах движение средств немного отличается. Остальная сумма, полученная этим адресом, разделена еще на две транзакции:
- 0.1 ETH поступило на адрес 0x33a64dcdfa041befebc9161a3e0c6180cd94fa89, владелец которого р2р обменник CoinSpot. В визуализации также показаны дополнительные поступления на один из промежуточных адресов, которые показывают с чем связано увеличение изначально отправленной суммы.
- 5 ETH были перемещены на следующий адрес, который разделил их еще на две транзакции. Переводы были получены адресами контрактов. Один из них поступил на контракт 0xa9d1e08c7793af67e9d92fe308d5697fb81d3e43, принадлежащий централизованной бирже Coinbase, второй - на адрес 0x7a250d5630b4cf539739df2c5dacb4c659f2488d, владельцем которого является Dex-платформа Uniswap. До вывода на Uniswap, промежуточный адрес собирал криптовалюту, поступающую с других адресов. Далее все средства, в том числе, полученные от злоумышленника, были отправлены на контракт Dex-платформы произвольными суммами.
Другая часть украденных активов также была разделена на транзакции поменьше и отправлена на различные адреса обменного сервиса eXch.
рис.3. - Визуализация. Часть дальнейшего движения средств с адреса 0x85c4ff99bf0ecb24e02921b0d4b5d336523fa085, принадлежащего злоумышленнику (часть 2)
В визуализации показана небольшая часть выводов на адреса обменного сервиса. Злоумышленник разделил средства на 27 транзакций от 1 ETH до 200 ETH между разными адресами eXch, далее обменник произвел внутреннее перемещение активов между своими адресами, объединяя всю полученную сумму на одном адресе. Криптовалюта была направлена на адрес 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123, (ранее упоминался в рис.2.)
Остаток средств на адресе злоумышленника, после произведенных выводов (отражено в визуализации), составляет 0.00011574 ETH.
Помимо ETH, злоумышленник произвел несколько выводов в BTC, общей стоимостью 409 BTC (≈ $24,6 млн). При выводах с FixedFloat мошенник использовал для приема средств определенный адрес:
рис.4. - Визуализация. Перевод средств с обменного сервиса FixedFloat на адрес bc1q2skp47p9f5mr4n4m27k66v0l68gh3xdd7ad4e5, принадлежащий злоумышленнику.
После чего с отмеченного адреса вся полученная сумма выведена еще на 3 адреса, возможно принадлежащие злоумышленнику:
рис.5. - Визуализация в один шаг. Вывод средств с адреса bc1q2skp47p9f5mr4n4m27k66v0l68gh3xdd7ad4e5, принадлежащего злоумышленнику.
После этого, движение средств выглядит следующим образом:
рис.6. - Визуализация. Часть дальнейшего движения средств с адреса злоумышленника.
В визуализации показана часть перемещений криптовалюты через адреса, владельцы которых неизвестны. Далее с адресов получателя активы пересылаются на последующие несколько адресов. Большинство транзакций попадают в большие блоки с несколькими отправителями и множеством получателей, что затрудняет дальнейшее отслеживание средств. Другие перемещения ненадолго задерживаются на адресах получателей и передвигаются далее, как показано в рис.6. Возможно, при переводах криптовалюты злоумышленник пользуется услугами миксинг сервиса.
Итоги расследования:
В данном случае, для «отмывания» незаконно полученных средств злоумышленник использует обменные сервисы, либо пересылает криптовалюту на адреса не связанные с ним. Возможно, часть украденных средств передвигается через адреса миксинг сервиса.
Внутрисетевая кибербезопасность является одной из основных проблем, с которыми сталкиваются криптопроекты и организации. В наше время, когда кибератаки нередкое явление, обеспечение защиты информации внутри сети является необходимостью для защиты цифровых активов и личной информации. Нередко финансовые потери могут быть связаны с компрометацией закрытых (приватных) ключей критптокошельков. Возможно именно эта проблема и стала угрозой безопасности платформы.
Сейчас компания не комментирует ситуацию и не разглашает детали взлома, поэтому точные причины несанкционированного вывода средств неизвестна.
В криптоиндустрии каждое действие оставляет цифровой отпечаток и движение средств при подобных атаках возможно отследить с помощью специализированных AML-сервисов, которые в кратчайшие сроки размечают такие адреса как высокорискованные, в связи с этим злоумышленникам становится сложнее «отмыть» и обналичить незаконно полученные активы.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.