Ексклюзив: хакери продають токени зі знижкою, пов’язані з CoinEx, хаки Stake

Дослідники блокчейн-аналітики викрили особу, пов’язану з операцією з відмивання криптовалюти, яка пропонує вкрадені токени за зниженими цінами в результаті недавніх гучних хакерських атаок на біржі.

Розмовляючи ексклюзивно з Cointelegraph, представник фірми з безпеки блокчейнів Match Systems розповів, як розслідування кількох серйозних взломів із застосуванням подібних методів протягом літніх місяців 2023 року вказали на особу, яка нібито продає вкрадені токени криптовалюти через однорангові перекази.

За темою: злом CoinEx: скомпрометовані закриті ключі призвели до крадіжки на 70 мільйонів доларів

Слідчим вдалося виявити та зв’язатися з особою в Telegram, яка пропонувала вкрадені активи. Команда підтвердила, що користувач контролює адресу, яка містить криптовалюти на суму понад 6 мільйонів доларів, після отримання невеликої транзакції з відповідної адреси.

Тоді обмін викраденими активами проводився через спеціально створений бот Telegram, який пропонував знижку 3% від ринкової ціни токена. Після початкових розмов власник адреси повідомив, що початкові активи, які були запропоновані, були продані, і що нові токени будуть доступні через три тижні:

«Підтримуючи наш зв’язок, ця особа сповістила нас про початок продажу нових активів. Виходячи з наявної інформації, логічно припустити, що це кошти компаній CoinEx або Stake».

Команда Match Systems не змогла повністю ідентифікувати особу, але звузила її місцезнаходження до європейського часового поясу на основі кількох отриманих знімків екрана та часу розмов:

«Ми вважаємо, що він не є частиною основної команди, але пов’язаний з ними, можливо, його деанонімізували як гарантію того, що він не буде зловживати делегованими активами».

Повідомляється, що людина також демонструвала «нестабільну» та «нестабільну» поведінку під час різних взаємодій, раптово припиняючи розмови, виправдовуючись на кшталт «Вибачте, мені потрібно йти; моя мама кличе мене на обід».

«Зазвичай він пропонує знижку 3%. Раніше, коли ми вперше ідентифікували його, він надсилав потенційним клієнтам 3,14 TRX як доказ».

Компанія Match Systems повідомила Cointelegraph, що особа прийняла біткойн (BTC) як засіб оплати за викрадені токени зі знижкою, а раніше продала токени TRON (TRX) на 6 мільйонів доларів. Остання пропозиція від користувача Telegram перерахувала токени TRX, Ether (ETH) і Binance Smart Chain (BSC) на 50 мільйонів доларів.

Фірма безпеки блокчейнів CertiK раніше описувала переміщення вкрадених коштів під час пограбування Stake у листуванні з Cointelegraph, причому близько 4,8 мільйонів доларів із загальної суми 41 мільйона доларів було відмито через різні рухи токенів і міжланцюгові обміни.

Пізніше ФБР визначило північнокорейських хакерів Lazarus Group як винуватців атаки Stake, тоді як фірма з кібербезпеки SlowMist також пов’язала злам CoinEx на суму 55 мільйонів доларів із північнокорейською групою.

Це дещо відрізняється від інформації, отриманої Cointelegraph від Match Systems, яка свідчить про те, що зловмисники зламу CoinEx і Stake мали дещо інші ідентифікатори в методології.

Їхній аналіз підкреслює, що попередні спроби відмивання Lazarus Group не стосувалися таких країн Співдружності Незалежних Держав (СНД), як Росія та Україна, тоді як хакерські атаки влітку 2023 року показали, що викрадені кошти активно відмивалися в цих юрисдикціях.

За темою: Північнокорейське угруповання ФБР здійснило хакерство на 41 мільйон доларів

Хакери Lazarus залишили мінімальний цифровий слід, а нещодавні інциденти залишили багато крихт для слідчих. Соціальна інженерія також була визначена як ключовий вектор атаки під час літніх зломів, тоді як Lazarus Group націлилася на «математичні вразливості».

Нарешті, фірма зазначає, що хакери Lazarus зазвичай використовували Tornado Cash для відмивання вкраденої криптовалюти, тоді як останні інциденти призвели до змішування коштів через такі протоколи, як Sinbad і Wasabi. Ключові подібності все ще значні. Усі ці хакери використовували гаманці BTC як основне сховище для вкрадених активів, а також Avalanche Bridge і змішувачі для відмивання токенів.

Дані блокчейну, перевірені наприкінці вересня 2023 року, свідчать про те, що цього року північнокорейські хакери вкрали криптовалюту на суму приблизно 47 мільйонів доларів, у тому числі 42,5 мільйона доларів у BTC та 1,9 мільйона доларів ETH.