Расследование команды КоинКит: Визуализация движения украденных средств торговой площадки Kronos Research на сумму $26 млн.
Начало инцидента
19 ноября Тайваньская компания Kronos Research сообщила об утечке API-ключей, о чем было объявлено в их информационном канале в Х (Twitter), далее, новость разлетелась через новостные блоги, которые информируют о событиях в сфере криптовалют. Из-за несанкционированного доступа, злоумышленником было похищено около $26 миллионов в криптовалюте, и отправлено несколькими транзакциями на разные криптовалютные адреса. В сообщении также отмечено, что потери не составляют значительной части капитала и не окажут серьезного влияния на финансовое состояние предприятия.
Kronos Research занимается маркет-мейкингом (обеспечивают ликвидность покупкой и продажей активов), высокочастотной торговлей (HFT) и арбитражем. Компания основана в 2018 году в Тайване (КНДР, Китай) в результате взлома, они впервые были вынуждены приостановить торги на период расследования. Отключение операций затруднило работу и привело к проблемам на бирже WOO X, основанной Kronos. Стоит подчеркнуть, что принятие решения о временном прекращении торговых услуг является неотъемлемой частью стратегии ответа на подобные кибератаки, так как это помогает остановить несанкционированные выводы с кошельков платформы.
Расследование
В настоящее время Kronos Research предпринимает собственные усилия для выявления источника нарушения безопасности и проводит внутреннее расследование инцидента. Кроме того, с кошелька компании была отправлена сумма эквивалентно ≈$2 в ETH, с сообщением о готовности вести переговоры со злоумышленником по возврату средств:
«Мы признаем сложность ситуации и готовы к переговорам по ее разрешению. Мы предлагаем вознаграждение в размере 10% от украденных средств, с возвратом оставшихся 90%. В этом случае мы не будем продолжать этот процесс. Это предложение действительно до 30 ноября, 08:00 UTC».
Обратим внимание на хэш транзакции, то есть на потенциальный способ связи с хакером:
0xfa5f39e439f057f36faa5874934146d07815b32fa231200ff0096dee7f4bc83f
Для того, чтобы наглядно представить движение украденных средств в результате кибератаки на Kronos Research, мы предоставим вам детализированную визуализацию. На этой картинке отображается путь, по которому перемещались средства после кражи, позволяя нам проследить, как именно происходило распределение украденных активов между различными адресами:
В криптоиндустрии, где каждое действие оставляет цифровой след, анализ потока украденных средств открывает уникальные возможности для понимания действий злоумышленников. Проведя тщательный анализ, мы обнаружили, что похищенные активы были перенаправлены на конкретный адрес злоумышленника:
«0x2b0502fdab4e221dcd492c058255d2073d50a3ae».
Затем 13009.4504 ЕТН (≈ 26254241,76 usd) были разделены и переведены на семь других его адресов. В конечном итоге, с одного из кошельков, средства в размере 0.999516 ЕТН (≈ 2017,11 usd) были отправлены обменнику, с целью попытки вывода. Остаток украденных средств до сих пор находится на кошельках злоумышленника.
Благодаря системам AML и развитой инфраструктуре в сфере криптовалют, в таких ситуациях для хакеров становится значительно сложнее «отмыть» украденные средства без значительных потерь. Это зачастую приводит к тому, что злоумышленники вынуждены идти на сделки с пострадавшей стороной.
Итоги расследования
Это событие подчеркивает два важных аспекта: уязвимость компаний перед кибератаками и необходимость постоянного совершенствования мер в области цифровых технологий. Несанкционированный доступ к API является одной из наиболее острых проблем в сфере кибербезопасности по нескольким причинам:
- API — это ключевая точка взаимодействия для веб-сервисов, в том числе финансовых систем. Широкое использование и функциональность делают их привлекательной целью для атак.
- Недостаточное внимание к безопасности API может привести к серьезным последствиям от утечки конфиденциальных данных до финансовых потерь.
- Сложность обнаружения атак через API делает проблему взломов еще более острой, поскольку такие атаки могут быть незаметными на ранних стадиях.
Нередко, подобные инциденты могут произойти при неаккуратном использовании ключей сотрудниками компании, имеющими доступ к API ключам. Даже кратковременное использование API ключей злонамеренно, может иметь серьезные последствия. Так же этот случай акцентирует внимание на постоянной необходимости улучшения методов защиты данных для предотвращения подобных инцидентов в перспективе.
Для защиты от взлома через API ключи необходимо следить за их безопасностью, в том числе:
- регулярно изменять ключи;
- хранить их в зашифрованном виде;
- предоставлять доступ к ним только необходимым пользователям или системам;
- использовать механизмы мониторинга и обнаружения аномальной активности для быстрого реагирования на возможные инциденты безопасности.
Заключение
В заключение данного расследования о кибератаке на Kronos Research и последующем перемещении похищенных средств стоит отметить, что ситуация продолжает развиваться, и окончательный исход пока остаётся неизвестным. Мы намерены следить за последующими событиями и новой информацией, связанной с этим делом.
Особо следует отметить важность блокчейн-аналитики в расследованиях подобного рода. Этот инструмент является ключевым в раскрытии цепочек транзакций и в идентификации злоумышленников, что имеет решающее значение для понимания мошеннических схем и усилению мер по борьбе с отмыванием незаконно добытых средств.
P.S. Этот материал не оценивает произошедшее событие. Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.