Взлом FTX: хакер может быть причастен также к атакам на Binance и Bittrex

• На прошлой неделе пользователи FTX потеряли миллионы долларов из-за фишинговой атаки
• CEO биржи опубликовал адреса вероятных злоумышленников
• Некоторые из них связаны с атаками на Binance и Bittrex и могут быть частью одной схемы

В конце прошлой недели биржа FTX была взломана. Хакер воспользовался утечкой ключей API сервиса 3Commas, в результате чего пользователи потеряли миллионы долларов. Теперь оказывается, что это не единичный случай, и преступник замешан в некоторых других громких атаках на крипто-платформы. 

Как это было

В пятницу, 21 октября, пользователь Колин Ву заявил, что двумя днями ранее его кошелек на FTX был взломан. Хакер получил к нему доступ через API-интерфейс 3Commas и украл около $1,6 млн в криптовалюте. 

Позднее о потерях заявили и другие пользователи. Точная сумма ущерба до сих пор неизвестна. Примечательно, что некоторые из пострадавших никогда не пользовались интерфейсом API и даже не слышали о 3Commas. 

Администрация сервиса подчеркнула, что не имеет отношения к произошедшему. Взлома как такового не было, а случившееся — это пример фишинговой атаки. 

Так или иначе, CEO FTX Сэм Бэнкман-Фрид объявил о том, что биржа выплатит компенсацию пострадавшим в размере $6 млн. Также он опубликовал три адреса вероятных злоумышленников:

• 0x6D3e6Ba1b510287141b27F763A86E04c72a001D1
• 0xaB8bd0D4Eda57cd9EE5A058e498A791dF13dFA65
• 0x87c828593984381E50D55F755B8462e074047Cf7

На этом расследование взлома можно закрывать, если бы не один интересный факт. Эти адреса фигурируют в других громких атаках на криптовалютные платформы. 

Вывод средств с FTX

На обозначенных SBF адресах после взлома было более 2 тысяч ETH. Большую часть этого хакер вывел с биржи через эти два счета:

• 0xeEc49F195096389E725ade6aAb49Db779EF3b881
• 0xcA92077aCD49b523045754C1fE3Ccc1D7710b119

На них осело 972 и 170 ETH соответственно. Затем хакер, ну или группа таковых, использует множество других адресов для распределения эфира. Вот лишь часть из них:

• 0xdd7D5f5eCE60b859430C7a56e3d5942238141560
• 0x948d5194E37F022cBD7b26B6c0560fE804bA7F6f
• 0xaeECB7860Eb6D7929Be5Bb34Ce94F21Befc6ead3
• 0x929c271d123041A142bF1575ea0026F1D8Fa7C49
• 0xf261F3c80d1226583EaeCbdA62DDefFD676E237a
• 0x1321af1a1b26374807e8cc31838A2c914031DA86

Затем ETH поступают на централизованные биржи. Часть из них, а именно небольшие депозиты в эфире на FTX, хакер держит для повторных атак. Счета других CEX преступник использует, чтобы отмывать награбленное.

FTX:

• 0x133824f213778Ac5193a2bC8b2e987E9dDd739B1 (19,9 ETH)
• 0xcE7aB58A1CDBA37c17E7d8C4569ec6803b8126eF (20,09 ETH) 
• 0xC3Bb6dA4182175f9316f3a705D22Ee382Fb825bB (66,41 ETH)
• 0x2B390759EE8b5222AE59BBAa92d2c904ec09FdB2 (20 ETH)

Binance:

• 0x0Ee325A15FC9257166089335C98d344E8dBfa5fc (500 ETH)

FixedFloat:

• 0x6108c4D519CEAF61022DC57512Df5c9D1059bB44 (45 ETH)
• 0x44a4718064E383ad30b56349fC5F1845C721D056 (45 ETH)

Сюда же следует добавить еще более 45 адресов на FixedFloat, на каждом из которых депозит составляет 45 эфира. 

Атака на Binance.US

Посмотрите на третий адрес из списка, через которые хакер переводил средства на CEX — 0xaeECB7860Eb6D7929Be5Bb34Ce94F21Befc6ead3. Он уже «засветился» ранее. 

Этот адрес участвовал во взломе Binance.US через эксплойт с интерфейсом API в период с 13 по 17 октября. В результате хакер украл более тысячи ETH. Из приложенной ниже схемы видно, что в итоге часть средств с этого счета попала на тот счет, который упоминал Бэнкман-Фрид:

Для передачи активов преступники, возможно, использовали торговую пару SYS/USD. Хакер создает множество транзакций за короткое время, после чего крайне оперативно выводит средства. Это косвенно подтверждает эта инфографика:

Здесь засветился уже один из адресов, опубликованных SBF в Twitter — 0x6D3e6Ba1b510287141b27F763A86E04c72a001D1. Он замешан в атаке на платформу с использованием все того же эксплойта API, которая произошла в период с 23 по 24 октября. Хакер украл более 300 ETH. 

Награбленное злоумышленник вывел через эти счета:

• 0xD72ca629b850D3BB0bb07BfE160dEB9D83aCd66E
• 0xcAdc25c58d1106587235B0e0F5Df58F7B2480391
• 0xdD7BBF14960fFaBE66911A689c27ff095b9393b7
• 0x81866E125A6a750EE7BCB891e924e549768D28B0
• 0x2a03C993d5d448dCBB5284d58920Ca48E9D366E4
• 0x7dDB99087304D9A5E029ddeC1771E95df7b07002

Как видно на графике, средства в итоге осели на площадке FixedFloat:

На этот раз хакер использовал торговую пару NXT/BTC. Это весьма вероятно, поскольку до взлома 23-24 октября объем продаж по этой позиции был небольшим. 

Но в момент атаки NXT вышел на второе место в рейтинге по объему спотовых торгов на Bittrex:

Это также подтверждает скачок курса актива в указанных период:

Краткий вывод 

Что можно сказать в итоге по итогам этого расследования? Вероятнее всего основным фактором, которые повлек такие потери, являются сами пользователи.

Фишинговая атака — это один из простейших инструментов «выкачки» денег с чужих счетов. Защититься от него достаточно просто, имея представление о самой схеме, конечно же. Но также нельзя отрицать и тот факт, что биржам следует разработать более гибкий и доступный сервис по защите своих клиентов.

Шиткоины — это реальная проблема. Ее актуальность доказал прецедент с Mango Inu, когда взломщик Mango Markets не скрываясь «наварился» на других пользователях, используя манипуляции с ликвидностью.

Биржам нужны маркеры для отслеживания действий хакеров. В каждом из случаев объем торгов по почти «мертвым» позициям увеличивался. При оперативном вмешательстве со стороны биржи не исключено, что кражу можно было бы предотвратить.