Криминальные инциденты:
1. Взлом HECO Chain и HTX
22 ноября сразу несколько команд, занимающихся анализом криптопреступлений, обратили внимание на резкий отток средств из моста HECO Chain в сети Ethereum. Кроме того, как стало известно, помимо HECO Chain, пострадала и сама биржа HTX(ранее Huobi)
Адрес хакера:
- 0xFc146D1CaF6Ba1d1cE6dcB5b35dcBF895f50B0C4
Потери HECO Chain составили более 85 млн. $, в то время как сумма украденных средств с HTX составила порядка 12.5 млн $. С достаточно большой долей вероятности можно утверждать, что причиной взлома стала компрометация приватных ключей.
Сразу после взлома хакер стал обменивать украденные ERC20 токены, скорее всего, опасаясь, что эти токены могут быть заморожены. Некоторые ERC20 токены в своих смарт-контрактах содержат так называемые blacklist функции, которые позволяют заносить адрес в чёрный список и замораживать токены на нём(например USDT и USDC).
На сегодняшний день хакер владеет более чем 41400 ETH, рапределённых между большим количеством адресов. С момента взлома и обмена токенов на ETH хакер был активен лишь раз, переведя 23 ноября 23574.342 ETH с одного из своих адресов 0xe47e6dA16Bb83EB0FD26b3F29b15CE8Fab089B9e на четыре новых адреса:
- 0xEdBdCb1b763Ef7920978c700007Ab1F05b18b8f6 - 11,221.122 ETH;
- 0x7bEfDBB89C21863E910310A36Da5058704552935 - 11,220 ETH;
- 0x8DC70E0305c0f19d926AC8F07b61C5C2cfb9Ab75 - 1,122 ETH;
- 0xB6baC5CAe1cD4b7e8137bFe5254dFB1CF1F36d0e - 11.22 ETH.
Пока рано говорить, кто стоит за данным взломом, но? исходя из предыдущих случаев взлома мостов(Ronin Bridge Hack и Horizon Harmony Bridge), можно предположить, что за данной атакой стоит северокорейская группировка Lazarus.
2. Взлом децентрализованной биржи KyberSwap
22 ноября был взломан проект KyberSwap. Потери, вызванные атакой, составили порядка 46 млн. $.
Причиной взлома стала уязвимость контракта, позволившая хакеру манипулировать уровнем ликвидности в пуле.
Адреса хакера:
- 0x50275E0B7261559cE1644014d4b78D4AA63BE836
- 0xC9B826BAD20872EB29f9b1D8af4BefE8460b50c6
Сразу после взлома хакер заявил, что начнёт переговоры с жертвой после того, как отдохнёт.
Команда KyberSwap дала хакеру время до 27 ноября и предложила 10% от украденной суммы, отправив сообщение в транзакции
0xcd34182974b8db72afdfe82881eb5baa057ae32dff8a0dfab764a7445845e2c3
Однако с тех пор никаких новостей о начавшихся переговорах не появлялось и всё больше вероятность, что человек, стоящий за взломом, всё таки не является white hat хакером.
3. Хакер, взломавший CashioApp снова активен
25 ноября злоумышленник, ответственный за взлом протокола CashioApp, начал снова отправлять средства в Tornado.Cash.
26 ноября хакер продолжил отправлять средства в миксер и сделал 9 новых депозитов.
Напомним, что CashioApp - протокол на базе сети Solano, реализовавший алгоритмический стейблкоин CASH с привязкой к доллару. Хакеры воспользовались уязвимостью протокола, позволявшей выпускать бесконечное количество монет. Взлом произошёл 23 Марта 2022 года
Потери протокола в 2022 году составили порядка 52.8 млн. $.
Адреса хакера в сети Ethereum:
- 0x86766247Ba3405C5f15F06b895294200809e9Cfb
- 0xfe4B0EEb966f60052a68eaC9F90F5bDDDa878a85
