Сингапурская биржа Phemex была взломана 23 января. Приблизительные потери биржи на данный момент составляют 58.7 млн. $. Хакерам удалось получить доступ к горячему кошельку биржи, в который входили следующие адреса:
- Bitcoin: bc1q32sxnq5hecdurfzgzp5x0zh8du86v9x84wdqdx
- Ethereum: 0x50be13b54f3eebbe415d20250598d81280e56772
- BSC: 0x50be13b54f3eebbe415d20250598d81280e56772
- Base: 0x50be13b54f3eebbe415d20250598d81280e56772
- Avalanche: 0x50be13b54f3eebbe415d20250598d81280e56772
- Arbitrum: 0x50be13b54f3eebbe415d20250598d81280e56772
- Polygon: 0x50be13b54f3eebbe415d20250598d81280e56772
- Optimism: 0x50be13b54f3eebbe415d20250598d81280e56772
- zkSync: 0x50BE13b54f3EeBBe415d20250598D81280e56772
- Solana: EWSH4y1SAzuio5hso2kWoPHD6MRKsD2ew3Vu4QdLaBsu
- TRON: THAABzWrhp84Nr7gxss7qhtzA5mp3d1qUo
- SUI: 0x51fc8f63faf7b22d401623f9c3ae5183e564d701741770f12ad1851c6c45a0c8
- Litecoin: ltc1qqxaw8550zsyurqe6p8v9lyn3t883x27u7q4m89
Как видно, атака затронула множество блокчейнов. При этом, за исключением сетей Bitcoin, Litecoin и Solana, в которых хакер украл с биржи непосредственно нативные токены данных блокчейнов(основная монета сети, в случае Bitcoin - это BTC), во всех остальных сетях хакер действовал одинаково. После взлома биржи хакер вывел активы на свои первичные адреса, обменял украденные средства на нативные токены сетей и перевёл их на новые адреса. Далее мы приведём графы движения средств и обозначим потери Phemex в каждом из затронутых блокчейнов.
Bitcoin
Адрес, содержащий украденные средства в сети Bitcoin:
- bc1q7v5se5aq37g3lw8ccgre2laktpt6qrjvxqcz4p содержит:
1) 50.657 BTC (5,331,211 $)
Ethereum
Адреса, содержащие украденные средства в сети Ethereum:
- 0x140dea3b704d724ddff41597b35a10ce0189661f содержит:
1) 6,107.7 ETH (20,204,358 $) - 0xa12a5e80f19332759bd7bfa3f5505ca2c7d1dee7 содержит:
1) 1 ETH (3,301 $)
2) 881,493.67 $ в различных ERC20 токенах.
BSC:
Адрес, содержащий украденные средства в сети BSC:
- 0xd760cc6f2d41e43309912d54a0955dbc8a77890f содержит:
1) 4,793.1 BNB (3,291,245.73 $)
2) 5,213 $ в различных BEP20 токенах
Base
В сети Base хакер после обмена токенов на ETH украденные средства были переведены в сеть Ethereum через сервис Stargate.
Адрес, содержащий украденные средства в сети Ethereum после перевода из Base:
- 0x870d65b3908a5213180550089ed1671a2d1e4af0 содержит:
1) 593.278 ETH(1,955,345.96 $)
Avalanche
Адрес, содержащий украденные средства в сети Avalanche:
- 0x7288ca84ab40be3435dd33d0ceac57fe75eccd1d содержит:
1) 29,508.76 AVAX (1,065,424.02 $)
Arbitrum
Адрес, содержащий украденные средства в сети Arbitrum:
- 0xae2f4172f3665c0aa332e871b32314d26d47f465 содержит:
1) 305.26 ETH (1,035,702.74 $)
Polygon
Адрес, содержащий украденные средства в сети Polygon:
- 0x9b52594bfe50c51a75a8775ea03ad687e25e6a58 содержит:
1) 1,552,183.4 POL (686,651.34 $)
Optimism
Адрес, содержащий украденные средства в сети Optimism:
- 0xa90209b59a78f6100bb18882baba2adf9f57ab34 содержит:
1) 153.67 ETH (522,254.98 $)
zkSync
Адрес, содержащий украденные средства в сети zkSync:
- 0xB66aF6Fe0478507f2cF74F43a2bc383fdcF8d09c содержит:
1) 85.71 ETH (276,766.53 $)
Solana
Адрес, содержащий украденные средства в сети Solana:
- CSERJWB57xayQte4xyngoUVPDcWwJgXX9V4NjPS19F66 содержит:
1) 68,476.60002 SOL (17,348,118.05 $)
SUI
Адрес, содержащий украденные средства в сети SUI:
- 0xcfcefe62850aabe2c2ed2f22078ad092e1f79575f42b997dee5d161dfb21ea9c содержит:
1) 687,038 SUI(3,029,837.58 $)
2) 1,036 SEND(2,041 $)
TRON
Адрес, содержащий украденные средства в сети TRON:
- TLz7tV8B4hAwYZ54ES1HQfRrdi8SFfxbA1 содержит:
1) 7,235,688.186455 TRX (1,862,918.26 $)
Litecoin
Адрес, содержащий украденные средства в сети Litecoin:
- LU6ddXsXxwmojJkU29wu5AS67tpD3GQiXc содержит:
1) 10,135.12 LTC (1,195,944 $)
На данный момент нет информации о причинах взлома и о хакерах, стоящих за кражей. Однако с большой долей вероятности можно сказать, что причиной взлома стала компрометация секретных ключей от адресов горячего кошелька биржи. Также в социальных сетях появились предположения, что за кражей стоит северокорейская группировка Lazarus. Действительно, по ряду факторов можно утверждать, что это действительно Lazarus. В частности, данная группировка в прошлом часто атаковала азиатские криптовалютные биржи. Также анализ первых движений украденных средств похож на паттерн действия Lazarus. Однако пока нельзя утверждать со 100% уверенностью, что это Lazarus. В прошлом уже были случаи, когда хакерские группировки пытались маскировать своё поведение под шаблоны, используемые Lazarus. Чтобы это выяснить, необходимо подождать следующих шагов хакеров. Если это действительно Lazarus, то мы предполагаем, что события будут развиваться следующим образом:
1) Сначала средства будут лежать без движения на текущих адресах минимум 2-3 недели.
2) После этого украденные средства с таких блокчейнов, как BSC, Arbitrum, Avalanche, Polygon и zkSync будут переведены в Ethereum.
3) В Ethereum средства будут планомерно делится посредством перевода частей на новые адреса, обмениваться на USDT и быстро переводится в сеть TRON, чтобы не дать возможность Tether заморозить USDT. Также возможно использование миксера Tornado.Cash в качестве промежуточного шага на этом этапе. При этом, так же, как и всегда, Lazarus не будет использовать миксер для повышения своей анонимизации. Миксер используется для развязки прямой связи с источником, чтобы автоматизированные механизмы анализа транзакционного потока украденных средств не смогли моментально определить точки выходов из миксера. Чтобы найти адреса, на которые хакер вывел средства, как правило, требуется участие человека. Этим пользуются хакеры, так как это занимает определённое количество времени.
4) Последний этап - это отмывание средств в сети TRON и перевод их на целевые сервисы(биржи).
Ниже приведён пример такого движения средств для сетей BSC и Ethereum
Также заметим, что в самую последнюю очередь хакеры займутся украденными биткоинами. Скорее всего, будет использован какой-либо Биткоин миксер. Мы предполагаем, что это будет один из сервисов, предоставляющих возможность участия в Coinjoin транзакциях(Wasabi 2.0 или Samourai) после чего средства так же будут отправлены в TRON.
Если хакеры, взломавшие биржу Phemex, пойдут по схожему сценарию, тогда можно будет сказать с уверенностью, что за взломом стоит Lazarus. Мы продолжим наблюдать за развитием событий и будем информировать Вас о результатах нашего расследования.