Мошенничество сегодня — серьезная угроза как для частных лиц, так и для компаний, поскольку с развитием технологий преступные схемы становятся все более изощренными. Главная защита — это собственная внимательность, осторожность и осведомленность о возможных методах мошенничества, как в данном случае.

Более эффективная стратегия в борьбе с мошенничеством заключается в том, чтобы думать как злоумышленник: понимать его мотивацию, методики и шаги. Такой подход помогает предвидеть возможные схемы, анализировать их и находить способы обезопасить себя и свои активы.

В статье встречаются термины, связанные с блокчейн-технологиями, которые можно освежить в глоссарии в конце.

Краткая история событий

16 октября 2024 года проект Radiant Capital подвергся атаке, в результате которой потеряно около 50 млн долларов США.

Radiant Capital представляет собой протокол децентрализованных финансов (DeFi), основной целью — является создание единого омничейн денежного рынка, позволяющего пользователям вносить и занимать различные активы через разные блокчейны.

Хакеры скомпрометировали устройства трех ключевых разработчиков, доверенных членов DAO, используя сложное вредоносное ПО. Хотя устройства разработчиков были защищены и географически распределены, злоумышленники смогли обойти защиту и подписать несанкционированные транзакции.

Атака осталась незамеченной, так как в интерфейсе отображались корректные данные, а несанкционированные транзакции проводились скрытно. Взлом произошёл во время стандартного многоподписного обновления выпуска токенов, при этом все базовые процедуры и проверки были соблюдены. Внешние проверки от SEAL911 и Hypernative подтвердили, что компрометация была неотличима в процессе проверки.

SEAL 911 — это инициатива, созданная для безопасности и доступного способа связи с группой высококвалифицированных специалистов по безопасности в экстренных ситуациях.

Hypernative — это платформа кибербезопасности, специально созданная для защиты цифровых активов и инфраструктуры Web3. Hypernative предоставляет инструменты для мониторинга, анализа и предотвращения угроз в режиме реального времени.

Хакеры вывели около 50 млн долларов США с платформ на Arbitrum и BSC воспользовавшись открытыми одобрениями для вывода средств пользователей. Radiant настоятельно рекомендовал всем пользователям отозвать одобрения для смарт-контрактов на всех блокчейн-сетях.

DAO Radiant Capital сотрудничает с правоохранительными органами и компанией в сфере кибербезопасности ZeroShadow для заморозки похищенных активов и установления личности злоумышленников.

Предпосылки проведения расследования

Мы решили проанализировать перемещение средств с адресов жертвы, отследив весь путь следования украденных активов и выявив подходы злоумышленников на каждом этапе. Наш инструмент Bholder позволяет визуализировать этот процесс наглядно и эффективно.

Краткое описание атаки

Основной целью хакеров было получить подписи для подтверждения команды через кошельки с мультиподписью. Они успешно взломали несколько устройств, на данный момент известно, что минимум три, но точное число неизвестно. Затем, демонстрируя в интерфейсе транзакции, отображающиеся как настоящие, хакеры получили доступ к криптоактивам благодаря уже поставленным подписям.

После одобрения транзакций разработчиками, взломанные устройства подменяли транзакции на вредоносные запросы и снова отправляли на аппаратные кошельки для подписи. Safe Wallet информировал об ошибке, что приводило к новым попыткам подписания, таким образом хакеры получили нужные подписи и завершили свою атаку.

Несмотря на проверки через Tenderly и другие инструменты, несанкционированные транзакции выглядели легитимными.

Кража токенов

Со смартконтрактов, принадлежащих Radiant Capital, в результате атаки было похищено криптоактивов на следующие суммы:

• 150.91 WBTC,
• 3,840,364.73 ARB,
• 2,353.74 WETH,
• 481,392.51 USDC,
• 161,514.30 USDT,
• 44,415.67 DAI,
• 8,469.86 WBNB,
• 470.43 ETH,
• 303,590.14 USDC,
• 451,482.02 BSC-USD,
• 160.35 BTCB,
• 220.69 wBETH.

После поступления этих токенов на основной кошелек злоумышленника — 0×97a05becc2e7891d07f382457cd5d57­fd242e4e8 [22], была произведена конвертация криптоактивов в два основных токена, которые использовались для дальнейшего отмывания средств.

На текущий момент в инциденте задействованы токены, охватывающие 3 блокчейн-сети: Arbitrum, Ethereum и Binance Smart Chain. Злоумышленник осуществляет перемешивание криптовалюты между блокчейн-сетями и в итоге выводит средства на два адреса в трех блокчейнах (Arbitrum, BSC и Ethereum):

• 0×8b75e47976c3c500d01484639317­17001f620887 [25] (Arbitrum и Ethereum),
• 0xcf47c058cc4818ce90f9315b478eb2­f2d588cc78 [26] (BSC).

Эти адреса используются для финальной обработки и хранения похищенных средств, а также для попыток замаскировать их следы в блокчейне.

Дальнейшие перетекания криптовалюты

В этой части статьи рассмотрим распределение похищенной криптовалюты на два блокчейн-адреса в трех блокчейн-сетях: Arbitrum, BSC и Ethereum:

• 0×8b75e47976c3c500d014846393171­7001f620887 [25] (Arbitrum и Ethereum),
• 0xcf47c058cc4818ce90f9315b478eb2­f2d588cc78 [26] (BSC).

Кроме поступлений, полученных после конвертации (свапов), можно наблюдать, что еще одним значимым контрагентом для этих двух блокчейн-адресов является третий блокчейн-адрес, также принадлежащий злоумышленнику. Этот факт подтверждается крупными транзакциями, направленными с этого блокчейн-адреса на оба вышеупомянутых блокчейн-адреса, задействованных в данном инциденте.

0×8b75e47976c3c500d01484639317170­01f620887 [25] (Arbitrum и Ethereum) выполняет не только функции аккумулирования похищенных токенов, но и совершает транзакцию в определенное «хранилище», куда отправлена часть украденной криптовалюты — 707.053640874178035263 ETH в сети Ethereum (что эквивалентно сумме $2,035,455.32).

Таким образом, эти блокчейн-адреса играют ключевую роль в распределении активов, аккумулируя средства и выполняя операции по дальнейшей передаче в другие хранилища или анонимные кошельки для запутывания транзакционных цепочек и сокрытия следов.

Перетекания криптовалюты из двух блокчейн-адресов по множеству контрагентов в сети Arbitrum и Binance Smart Chain

На Графе можно детально проследить транзакционную активность блокчейн-адреса 0xb7779da5386db9163be64a46a1a234­1a08dfa445 [28]. Этот блокчейн-адрес осуществил переводы на общую сумму 12,293.92 ETH в пользу 15 различных адресов, которые демонстрируют схожие паттерны в своем поведении.

Основные характеристики этих паттернов включают:

1. Дата транзакций: Все переводы были совершены в один и тот же день, что может указывать на заранее спланированную операцию по распределению средств.
2. Объемы транзакций: Суммы переводов также отличаются постоянством, что создаёт впечатление скоординированного действия. Идентичные объемы и временные рамки могут свидетельствовать о попытке замаскировать происхождение средств, разбив их на стандартные транзакции.

Эти данные позволяют предположить, что адреса, получившие переводы, возможно, действуют синхронно, следуя общей тактике для сокрытия следов.

Граф демонстрирует аналогичное поведение блокчейн-адреса 0×62dc783c63be0ea579fdb0922d25f15355d89041 [29]. Этот блокчейн-адрес осуществил переводы на 31 контрагента в сети Binance Smart Chain на общую сумму 32,779.17 BNB. Подобно блокчейн-адресу 0xb7779da5386db9163be64a46a1a2341a08dfa445 [28], описанному выше, данный блокчейн-адрес также проявляет схожие признаки:

1. Единообразие даты транзакций: Переводы были выполнены в одно и то же время, что предполагает заранее спланированное распределение средств.
2. Схожесть объемов транзакций: Суммы переводов демонстрируют постоянство, что также указывает на намеренное разбитие средств на стандартные транзакции для маскировки их происхождения.

Эти параллели между блокчейн-адресами в разных блокчейн-сетях указывают на систематический подход злоумышленников, стремящихся создать структуру транзакций, усложняющую отслеживание их действий и помогающую запутать движение криптовалюты.

Детализация транзакций блокчейн-адресов посредством которых происходит отмывание в блокчейн-сети Arbitrum

В данной части статьи мы рассмотрим взаимодействие с бриджами, которые играют ключевую роль в перемещении криптоактивов между блокчейн-сетями. В контексте криптовалют, бридж — это инструмент, позволяющий переводить цифровые активы из одной блокчейн-сети в другую, сохраняя их стоимость и функции.

Каждый адрес, представленный на графе и получивший криптовалюту от 0xb7779da5386db9163be64a46a1a2341­a08dfa445 [28], использовал бриджи для перевода активов из сети Arbitrum в сеть Ethereum с целью затруднить отслеживание их преступного происхождения. Для этих операций применялись такие бриджи, как Hop, Stargate и Synapse. Характерной чертой данной группы адресов является то, что их получатели, после использования бриджа, аккумулировали средства уже в новой сети (Ethereum), что усложняет анализ первоначального источника средств.

Основные моменты, выделяющие эти адреса, включают:

1. Временная синхронность: Все адреса продемонстрировали аналогичную активность 18 октября 2024 года, что предполагает скоординированные действия.
2. Накопление средств: Адреса после операций с бриджами удерживают активы на своих счетах, готовя их для дальнейшего перемещения, что может указывать на следующую фазу их планируемого использования.

Hop Protocol — это многосетевой мост, который позволяет пользователям быстро и экономично перемещать криптоактивы между основной сетью Ethereum и Arbitrum, Optimism и Polygon. Он был запущен в 2021 году и предлагает пользователям возможность отправлять популярные криптовалюты, такие как ETH, MATIC и USDT, без длительных периодов ожидания при выводе средств.

Stargate Finance — это протокол ликвидности, который упрощает межцепочечные переводы активов с использованием уникального механизма «мостов». Он обеспечивает возможность передачи активов между различными блокчейнами с минимальными затратами и высокой скоростью. Stargate позволяет пользователям обменивать токены на разных сетях.

Synapse — это еще один межцепочечный протокол, который позволяет пользователям обменивать активы между различными блокчейнами. Он фокусируется на обеспечении безопасности и скорости транзакций, предлагая пользователям возможность легко перемещать свои активы между сетями.

На данный момент криптовалютные активы в сети Ethereum сосредоточены на адресах:

0×44e1fd07928777212578e5ca03004b9­9e0dda01e [90]

0×803536aad020da0a27b36aa2a847867­070276045 [91]

0×4afbd65e78bf55cf95b6d4699f0edfe4c­d180b6f [92]

0×491c24a82c0b042cf34bfa59e340aff5f­98b44b1 [93]

0xdecf6c2ee70d2b96f55073331347bdf6f­8d25668 [94]

0×5b9aa4832af1d559ee29053403e9b94­e242b534c [95].

Эти адреса, вероятно, будут использоваться для дальнейшего перемещения средств с целью усложнить процесс отслеживания транзакций и запутать их структуру.

Действия, направленные на «очистку» средств, нередко включают взаимодействие с несколькими сетями и использование промежуточных адресов для снижения вероятности отслеживания.

Детализация транзакций адресов посредством которых происходит отмывание в блокчейн-сети Binance Smart Chain

В сети Binance Smart Chain (BSC) злоумышленник использует модель действий, несколько отличающуюся от схемы в блокчейн-сети Arbitrum, где криптовалюта отправлялась через мост в другую сеть на новые блокчейн-адреса. В данном случае, используя адрес 0×62dc783c63be0ea579fdb0922d25f15355d89041 [29], он распределял криптоактивы по нескольким адресам и затем отправлял их на различные сервисы такие как DODO, Stargate, 0x, DLN и Kyber. После смены сети злоумышленник получал их на исходные адреса и отправлял на новые. Для удобства анализа и визуализации графа все эти сервисы объединены в одну узловую точку — [80].

DODO — это децентрализованная биржа запущенная в августе 2020 года и предлагает пользователям возможность торговать различными активами на нескольких блокчейнах, включая Ethereum и Binance Smart Chain.

0x — это протокол, который предоставляет инфраструктуру для децентрализованных обменов на Ethereum. Он позволяет разработчикам интегрировать функции обмена в свои приложения, используя смарт-контракты для обработки ордеров.

DLN — это еще один протокол, который фокусируется на обеспечении ликвидности для децентрализованных приложений. Он позволяет пользователям предоставлять ликвидность и получать вознаграждения за это.

Kyber Network — это децентрализованный протокол обмена, который позволяет пользователям обменивать токены напрямую с их кошельков. Он агрегирует ликвидность из различных источников, чтобы обеспечить лучшие цены для пользователей.

В ходе отмывания средств злоумышленник неоднократно переводил активы на различные сервисы и получал их обратно на исходные адреса, после чего консолидировал общий поток средств, включая криптовалюту из других источников, на пяти адресах:

0×589e8b991c2afd2d8d4def8f7f0cbf670­73a9b19 [85],

0×759f1ad55a044f22c96b32c5a359cfa5­2e34c98f [86],

0×9beeecc34fad6367c991fd6b701fdc47­7e54ce34 [87],

0xcd69d20b41fddbf1c37e51a59062836­7a742d50f [88],

0xecae977e56c2480dcae69f7149dc4b1­3d452b7cf [89].

В настоящий момент криптоактивы остаются на этих адресах для дальнейшего использования.

Итоги

Подводя итоги текущего этапа расследования преступной схемы злоумышленника, можно отметить, что процесс хищения и отмывания средств в данном инциденте характеризуется повышенной степенью сложности и разнобразностью инструментов, что говорит о высоком уровне технических навыков у хакера, стоявшего за этим преступлением.

Злоумышленник многократно использовал мосты и свапы, разделяя общий поток средств на множество адресов и затем вновь объединяя их в определенных узловых точках. Это делалось для того, чтобы в дальнейшем снова распределить активы по множеству блокчейн-адресов и сервисов, что затрудняет отслеживание их движения.

Конечной точкой для возможного обналичивания средств может стать криптовалютная биржа, которая, выявив изначальное происхождение активов, вероятно, заблокирует попытки вывода и в сотрудничестве с правоохранительными органами сможет помочь в установлении личности злоумышленника или злоумышленников и придании огласке их действий.

Мы продолжим мониторинг деятельности злоумышленника и будем информировать о его последующих действиях и предпринимаемых шагах в рамках этого дела.

Как защитить себя от мошенников

Перед началом работы с блокчейн-платформами и инвестированием в криптовалюту рекомендуется изучить базовые концепции: принципы проведения транзакций, виды кошельков, методы обеспечения безопасности и способы защиты от мошеннических схем. Сфера криптовалюты динамично развивается, и владение актуальной информацией о новых инструментах и тенденциях поможет минимизировать риски.

В нашем блоге вы найдете материалы и руководства, освещающие ключевые аспекты криптовалют и блокчейна, которые помогут даже начинающим уверенно ориентироваться в этой сфере.

Для профессиональной поддержки наша команда экспертов готова проконсультировать по вопросам основ криптографии, анализа сложных операций и особенностей инвестирования, безопасного хранения и регулирования активов. Мы подберем оптимальные решения, соответствующие вашим задачам и потребностям.

Если вы столкнулись с криптомошенничеством, обратитесь к нам через Telegram или по электронной почте. Мы проведем анализ ситуации и предложим возможные шаги для возврата активов или сокращения убытков.

Термины и определения

Блокчейн — это технология, представляющая собою цепочку связанных блоков. Каждый из блоков является хранителем определенной информации и имеет в своем составе ссылку на предыдущий блок.

Cеть блокчейна — это особая экосистема позволяющая пользователям не только совершать действия с криптовалютой, но и создавать, а также использовать сторонние приложения, предлагать различные услуги, создавать токены.

DeFi-протокол — это система, состоящая из специальных программ — смарт-контрактов, работающая на блокчейне и осуществляющая такие операции как обмен криптовалют, кредиты, депозиты без участия банков и иных посредников.

Хакерская атака — это деятельность злоумышленника, направленная на кражу данных или нарушение работы компьютера и программ путем несанкционированного доступа к компьютеру.

Токен — это цифровой актив в блокчейне, используя который можно совершать такие операции как покупка товаров, обмен и инвестиции.

Смарт-контракт — это программа, автоматически выполняющая определенные действия, при соблюдении специальных условий.

Прокси-контракт — это особый смарт-контракт, выполняющий функции посредника между человеком и другим смарт-контрактом.

Вредоносное ПО — это программа, которая создавалась для нанесения вреда компьютеру посредством кражи данных или нарушения его работы.

Свап токенов — это процесс обмена одной криптовалюты на другую при помощи децентрализованных сервисов, работающих на смарт-контрактах.

Мост — это технология, позволяющая переместить токены одной блокчейн-сети в токены второй блокчейн-сети.

SOP — это стандартная операционная процедура, представляющая собой пошаговое руководство или инструкцию, определяющую порядок выполнения конкретных задач и действий для сотрудников компании или организации. SOP предназначены для унификации и стандартизации процессов, чтобы обеспечить их выполнение в соответствии с установленными нормами и требованиями, что особенно важно в компаниях с высокими стандартами качества или строгими требованиями к безопасности.

Safe Wallet — это криптовалютный кошелек, предназначенный для безопасного хранения, управления и использования цифровых активов, таких как криптовалюты и токены. Существует несколько известных решений, которые часто называют «Safe Wallet,» и вот некоторые из них:

1. Safe — это кошелек мультиподписи (multisig), построенный на смарт-контрактах, который используется для управления цифровыми активами в блокчейнах, таких как Ethereum и другие EVM-совместимые сети. Он особенно популярен в корпоративной среде и среди профессионалов DeFi, поскольку предлагает высокую степень безопасности и контроля над активами.
2. SafePal — это аппаратный криптовалютный кошелек, обеспечивающий высокий уровень безопасности благодаря хранению приватных ключей в офлайне. SafePal поддерживает десятки блокчейнов и тысячи токенов, и к нему прилагается мобильное приложение, позволяющее пользователям легко управлять активами, оставляя их при этом в полной безопасности.

Tenderly — это платформа для разработки, мониторинга и отладки смарт-контрактов, предназначенная для разработчиков на блокчейне Ethereum и других совместимых сетях. Tenderly упрощает процесс создания, тестирования и мониторинга смарт-контрактов, предоставляя разработчикам мощные инструменты для работы на всех этапах их жизненного цикла.

Аппаратный кошелек — это физическое устройство, предназначенное для безопасного хранения криптовалюты. Он хранит приватные ключи в офлайн-режиме (без подключения к интернету), что значительно снижает риск взлома или несанкционированного доступа. Аппаратные кошельки используются для долгосрочного хранения криптоактивов и защиты от кибератак, так как они изолированы от потенциальных угроз, характерных для устройств, подключенных к сети.