13 мая 2024 года появилась новость о взломе и хищении средств у централизованной биржи Rain. Новостные блоги сообщили, что инцидент произошел 29 апреля 2024 года, и было похищено около $14.8 млн в нескольких криптовалютах: ETH, BTC, XRP, SOL. Торги на Rain и работа сайта не были приостановлены.
Rain является централизованной биржей, с лицензией ЦБ Бахрейна. Также компания получила разрешение финансового регулятора Абу-Даби на работу, как поставщик брокерских и депозитарных услуг по виртуальным активам.
29 апреля компания подтвердила информацию о хищении средств и сообщила, что активы пользователей обеспечены и находятся в безопасности.
________________________
«Мы хотели бы ответить на новости об инциденте безопасности, связанном с Rain, и сообщить нашим клиентам, что ситуация решена. Как только нам стало известно об инциденте, мы изолировали проблему и ввели дополнительные меры контроля для усиления нашей безопасности. Rain Group покрыла любые потенциальные убытки, возникшие в результате этого инцидента, гарантируя, что интересы наших клиентов останутся защищенными».
________________________
На момент проведения расследования командой КоинКит, нет информации о попытках биржи связаться со злоумышленником для возврата украденных средств.
Путь украденных средств
После вывода средств с криптобиржи Rain в нескольких криптовалютах: ETH, BTC, XRP, SOL, — злоумышленник отправил украденные активы на различные централизованные платформы, после чего переместил всю сумму на свои адреса в BTC и ETH.
Передвижение средств в ETH
На адрес 0x197bc094f990261fd6841342901c451858756c28 поступило 1881.20311862 ETH.
Рис. 1 - Визуализация. Пополнение адреса 0x197bc094f990261fd6841342901c451858756c28, принадлежащего злоумышленнику.
В визуализации показаны переводы криптовалюты с централизованных платформ и обменных сервисов на промежуточный адрес 0x092bc67721fbc290ebecef417eec8729064cd609 (возможно, связанный со злоумышленником), с которого далее активы были перемещены на адрес злоумышленника, где в данный момент остаются.
Передвижение средств в BTC
137.90083531 BTC было отправлено на адрес злоумышленника bc1q53aawrkpt5lvk2e30z36unvmhqqdru7q4rprp2, далее активы были отправлены на 3 промежуточных адреса (возможно связанные со злоумышленником), откуда средства переместили через большое количество последующих неизвестных кошельков.
Рис. 2 - Визуализация. Часть дальнейшего движения средств с адреса bc1q53aawrkpt5lvk2e30z36unvmhqqdru7q4rprp2, принадлежащего злоумышленнику.
В визуализации показано, как передвигаются активы от адреса злоумышленника. Криптовалюта была разделена и отправлена на 3 адреса, и при каждой транзакции сумма делится на две транзакции. Дальнейшее движение средств похоже на передвижение средств через миксер криптовалют. Также, возможно, что злоумышленник использует собственные кошельки для перемещения средств. Часть средств, предположительно, была получена пользователями централизованных платформ BitGet, HTX, Gate.io, Binance. А вторая часть активов, на момент расследования, передвигается далее, как показано в рис.2.
В данном случае, для отмывания незаконно полученных средств злоумышленник использовал централизованные платформы и обменные сервисы. После чего вывел средства на свои адреса и какое-то время хранил их на своих кошельках. Далее криптовалюта была направлена на множество адресов, возможно, созданных злоумышленником.
Случаи связанные с несанкционированным доступом нередкое явление. Эти инциденты подчеркивают важность кибербезопасности. Организации, особенно в сфере криптовалют, нередко сталкиваются с угрозами, требующими постоянного совершенствования мер по защите информации. В то же время, сотрудничество с правоохранительными органами и использование специализированных сервисов по мониторингу транзакций могут помочь в быстрой идентификации и пресечении незаконных действий. Усилия, направленные на повышение уровня кибербезопасности, не только защищают компании и их клиентов, но и укрепляют доверие к цифровым платформам.
В криптоиндустрии каждое действие оставляет цифровой отпечаток, и движение средств при подобных атаках возможно отследить с помощью специализированных AML-сервисов, которые в кратчайшие сроки размечают такие адреса как высокорискованные, в связи с этим злоумышленникам становится сложнее «отмыть» и обналичить незаконно полученные активы.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
