24 июля 2025 года с криптовалютной биржи WooX было похищено $14 млн в криптовалюте. Для предотвращения несанкционированных выводов платформа временно приостановила вывод средств. Из новостных источников известно, что пострадали девять адресов пользователей платформы.
В официальном заявлении представителей биржи информация о взломе была подтверждена в этот же день, а также биржа обещает полностью возместить активы потерпевшим.
В заявлении Woox говорится:
«Временная приостановка вывода средств — 24 июля 2025 г.
В настоящее время мы расследуем инцидент, произошедший сегодня на WOO X.
Инцидент затронул 9 учетных записей пользователей, с которых были произведены несанкционированные выводы средств. Мы уже связались с затронутыми пользователями, и все несанкционированные выводы средств будут полностью покрыты.
В качестве меры предосторожности вывод средств временно приостановлен на время проведения внутренней проверки.
Мы работаем над тем, чтобы решить эту проблему как можно скорее, и сообщим о возобновлении вывода средств, как только это будет сделано.
Мы приносим свои искренние извинения за неудобства и благодарим вас за терпение и понимание»
Атака через социальную инженерию
Злоумышленникам удалось скомпрометировать компьютер сотрудника WooX, получив доступ к его учетным данным. Используя этот доступ, хакеры проникли во внутренние системы биржи. Хотя часть защитных механизмов WooX сработала и заблокировала дальнейшие действия, атакующие успели инициировать серию несанкционированных выводов средств напрямую с девяти пользовательских счетов.
Масштаб ущерба и действия биржи
Атака затронула 9 пользовательских адресов, с которых было похищено криптоактивов на сумму $14 млн (преимущественно в BTC, ETH и USDT). WooX отреагировала оперативно и прозрачно:
- В тот же день биржа официально подтвердила факт взлома;
- Немедленно приостановила все выводы средств для предотвращения дальнейших потерь – мера, которая, по заявлениям WooX, сработала;
- Связалась с пострадавшими пользователями и гарантировала полное возмещение всех украденных средств за счет биржи;
- Заявила, что путь атаки обнаружен и заблокирован, исключая возможность повторных инцидентов через тот же вектор.
Ход дела: как двигались украденные средства
В этом материале командой аналитиков КоинКит будут рассмотрены визуализации в ETH, USDT и BTC, связанные со взломом WooX
В ETH
криптовалюта была выведена через промежуточные адреса, возможно связанные со злоумышленником, либо напрямую на адреса хакера. На данный момент криптовалюта находится на адресах злоумышленников.
Рис. 1. Поступление на адрес 0x77167f0bc412eb39d004f354869938e7c5acd518, принадлежащий злоумышленникам.
Рис. 2. Поступление на адрес 0x87aab7bac1308faf2a0d59da26b8379e18b26355, принадлежащий злоумышленникам → перевод на адрес 0x889b49ef0bf787c3ddc2950bfc7d1d439320004b, принадлежащий злоумышленникам.
В USDT
криптовалюта была получена напрямую на адрес злоумышленников, после чего выведена на адрес Dex-платформы для обмена на wrapped eth.
Рис. 3. Поступление на адрес 0x87aab7bac1308faf2a0d59da26b8379e18b26355, принадлежащий злоумышленникам с последующим выводом на DEX-платформу.
В BTC
криптовалюта была выведена через промежуточные адреса, предположительно связанные со злоумышленниками, а также напрямую на адреса хакера. На данный момент криптовалюта хранится на адресах злоумышленников.
Рис. 4. Поступление на адрес bc1qut0g2uflywfcycuftuek7944p6hhxgm2p92fzm, принадлежащий злоумышленникам.
Рис. 5. Поступление на адрес bc1q4xm6y972qa82f4cudr4d28xdhxa4e68v5atrej, принадлежащий злоумышленникам.
Рис. 6. Поступление на адрес bc1qtzlpu326jcqnx8tnhrkqcfxjhn9e02zfutzsch, принадлежащий злоумышленникам.
Рис. 7. Поступление на адрес bc1qvd58w5kperw3hzu7j5gkca8rxkzwd7vjxtu2gh, принадлежащий злоумышленникам.
Известные адреса злоумышленников
По данным анализа движения украденных средств, были идентифицированы следующие адреса, принадлежащие или контролируемые злоумышленниками:
В Ethereum (ETH):
- 0x77167f0bc412eb39d004f354869938e7c5acd518
- 0x87aab7bac1308faf2a0d59da26b8379e18b26355
- 0x889b49ef0bf787c3ddc2950bfc7d1d439320004b
В Tether (USDT) (ERC-20):
- 0x87aab7bac1308faf2a0d59da26b8379e18b26355
В Bitcoin (BTC):
- bc1qut0g2uflywfcycuftuek7944p6hhxgm2p92fzm
- bc1q4xm6y972qa82f4cudr4d28xdhxa4e68v5atrej
- bc1qtzlpu326jcqnx8tnhrkqcfxjhn9e02zfutzsch
- bc1qvd58w5kperw3hzu7j5gkca8rxkzwd7vjxtu2gh
Итоги
Взлом WooX – наглядная демонстрация, что успех атаки часто зависит от человеческого фактора. Фишинг сотрудника стал тем самым "слабым звеном", которое позволило обойти часть технических защитных систем биржи.
Для пользователей это еще один сигнал о важности выбора бирж с прозрачной политикой безопасности, четкими гарантиями возмещения в случае форс-мажора и хорошо выстроенным AML-комплаенсом.
В подобных инцидентах опасность для пользователей кроется в последствиях — распространение украденной криптовалюты. Чтобы избежать попадания высокорискованных депозитов на ваши кошельки, используйте специализированные AML-сервисы, которые ведут актуальную базу мошенников и показывают связи адреса со всеми известными участниками рынка, а также оценивают их Risk Score.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
