Злом FTX: хакер може бути причетний також до атак на Binance і Bittrex

• Минулого тижня користувачі FTX втратили мільйони доларів через фішингову атаку
• CEO біржі опублікував адреси ймовірних зловмисників
• Деякі з них пов’язані з атаками на Binance і Bittrex і можуть бути частиною однієї схеми

Наприкінці минулого тижня біржу FTX було зламано. Хакер скористався витоком ключів API сервісу 3Commas, внаслідок чого користувачі втратили мільйони доларів. Тепер виявляється, що це не поодинокий випадок, і злочинець замішаний у деяких інших гучних атаках на крипто-платформи

Як це було

У п’ятницю, 21 жовтня, користувач Колін Ву заявив, що двома днями раніше його гаманець на FTX було зламано. Хакер отримав до нього доступ через API-інтерфейс 3Commas і вкрав близько $1,6 млн у криптовалюті

Пізніше про втрати заявили й інші користувачі. Точна сума збитків досі невідома. Примітно, що деякі з постраждалих ніколи не користувалися інтерфейсом API і навіть не чули про 3Commas

Адміністрація сервісу підкреслила, що не має відношення до події. Злому як такого не було, а те, що трапилося, – це приклад фішингової атаки

Так чи інакше, CEO FTX Сем Бенкман-Фрід оголосив про те, що біржа виплатить компенсацію постраждалим у розмірі $6 млн. Також він опублікував три адреси ймовірних зловмисників:

• 0x6D3e6Ba1b510287141b27F763A86E04c72a001D1
• 0xaB8bd0D4Eda57cd9EE5A058e498A791dF13dFA65
• 0x87c828593984381E50D55F755B8462e074047Cf7

На цьому розслідування злому можна закривати, якби не один цікавий факт. Ці адреси фігурують в інших гучних атаках на криптовалютні платформи

Виведення коштів з FTX

На позначених SBF адресах після злому було понад 2 тисячі ETH. Більшу частину цього хакер вивів з біржі через ці два рахунки:

• 0xeEc49F195096389E725ade6aAb49Db779EF3b881
• 0xcA92077aCD49b523045754C1fE3Ccc1D7710b119

На них осіло 972 і 170 ETH відповідно. Потім хакер, ну або група таких, використовує безліч інших адрес для розподілу ефіру. Ось лише частина з них:

• 0xdd7D5f5eCE60b859430C7a56e3d5942238141560
• 0x948d5194E37F022cBD7b26B6c0560fE804bA7F6f
• 0xaeECB7860Eb6D7929Be5Bb34Ce94F21Befc6ead3
• 0x929c271d123041A142bF1575ea0026F1D8Fa7C49
• 0xf261F3c80d1226583EaeCbdA62DDefFD676E237a
• 0x1321af1a1b26374807e8cc31838A2c914031DA86

Потім ETH надходять на централізовані біржі. Частину з них, а саме невеликі депозити в ефірі на FTX, хакер тримає для повторних атак. Рахунки інших CEX злочинець використовує, щоб відмивати награбоване.

FTX:

• 0x133824f213778Ac5193a2bC8b2e987E9dDd739B1 (19,9 ETH)
• 0xcE7aB58A1CDBA37c17E7d8C4569ec6803b8126eF (20,09 ETH)
• 0xC3Bbb6dA4182175f9316f3a705D22Ee382Fb825bB (66,41 ETH)
• 0x2B390759EE8b5222AE59BBAa92d2c904ec09FdB2 (20 ETH)

Binance:

• 0x0Ee325A15FC9257166089335C98d344E8dBfa5fc (500 ETH)

FixedFloat:

• 0x6108c4D519CEAF61022DC57512Df5c9D1059bB44 (45 ETH)
• 0x44a4718064E383ad30b56349fC5F1845C721D056 (45 ETH)

Сюди ж слід додати ще понад 45 адрес на FixedFloat, на кожній з яких депозит становить 45 ефіру

Атака на Binance.US

Подивіться на третю адресу зі списку, через які хакер переказував кошти на CEX – 0xaeECB7860Eb6D7929Be5Bbb34Ce94F21Befc6ead3. Він уже «засвітився» раніше

Ця адреса брала участь у зломі Binance.US через експлойт з інтерфейсом API в період з 13 по 17 жовтня. У результаті хакер вкрав понад тисячу ETH. З доданої нижче схеми видно, що в підсумку частина коштів із цього рахунку потрапила на той рахунок, який згадував Бенкман-Фрід:

Для передачі активів злочинці, можливо, використовували торгову пару SYS/USD. Хакер створює безліч транзакцій за короткий час, після чого вкрай оперативно виводить кошти. Це побічно підтверджує ця інфографіка:

Тут засвітилася вже одна з адрес, опублікованих SBF у Twitter – 0x6D3e6Ba1b510287141b27F763A86E04c72a001D1. Він причетний до атаки на платформу з використанням того самого експлойту API, яка сталася в період із 23 до 24 жовтня. Хакер вкрав понад 300 ETH

Награбоване зловмисник вивів через ці рахунки:

• 0xD72ca629b850D3BB0bb07BfE160dEB9D83aCd66E
• 0xcAdc25c58d1106587235B0e0F5Df58F7B2480391
• 0xdD7BBF14960fFaBE66911A689c27ff095b9393b7
• 0x81866E125A6a750EE7BCB891e924e549768D28B0
• 0x2a03C993d5d448dCBB5284d58920Ca48E9D366E4
• 0x7dDB99087304D9A5E029ddeC1771E95df7b07002

Як видно на графіку, кошти в підсумку осіли на майданчику FixedFloat:

Цього разу хакер використовував торгову пару NXT/BTC. Це дуже ймовірно, оскільки до злому 23-24 жовтня обсяг продажів за цією позицією був невеликим

Але в момент атаки NXT вийшов на друге місце в рейтингу за обсягом спотових торгів на Bittrex:

Це також підтверджує стрибок курсу активу в зазначених період:

Короткий висновок

Що можна сказати в підсумку за підсумками цього розслідування? Найімовірніше основним фактором, який спричинив такі втрати, є самі користувачі.

Фішингова атака — це один з найпростіших інструментів «викачування» грошей з чужих рахунків. Захиститися від нього досить просто, маючи уявлення про саму схему, звичайно ж. Але також не можна заперечувати й той факт, що біржам слід розробити більш гнучкий і доступний сервіс із захисту своїх клієнтів.

Шиткоіни — це реальна проблема. Її актуальність довів прецедент з Mango Inu, коли хакер Mango Markets не ховаючись «наварився» на інших користувачах, використовуючи маніпуляції з ліквідністю.

Біржам потрібні маркери для відстеження дій хакерів. У кожному з випадків обсяг торгів за майже «мертвими» позиціями збільшувався. За оперативного втручання з боку біржі не виключено, що крадіжці можна було б запобігти.