Ноябрь был весьма не спокойным месяцем для мира криптовалют. За этот период произошло 8 крупных взломов, потери в ходе которых превысили 1 млн. $. При этом общая сумма украденных средств за этот период превысила 306 млн. $
Самые крупные потери понесла биржа Poloniex, из-за взлома лишившаяся больше 126 млн. По прежнему одним из самых уязвимых мест экосистемы Ethereum остаются мосты. Это очередной раз доказал взлом моста, связывающего HECO Chain и Ethereum. Потери от этого взлома составили 85 млн. $, а вместе с украденными средствами HTX, которая запустила HECO Chain, убытки составили 97.5 млн. $.
Отдельно стоит поговорить о взломах Raft.fi и KyberSwap. И если первый взлом выделился глупостью хакера из-за ошибки сжёгшего 1570 ETH, то взлом KyberSwap ошарашил наглостью хакера, который решил чуть ли не отжать фирму в лучших традициях России 90-х годов.
Если рассматривать распределения потерь по сетям, то больше всего средств было украдено на Ethereum(197.23 млн. $). Меньше всего пострадала сеть Avalanche. Потери на ней оказались чуть больше 20,000 $.
Теперь давайте рассмотрим подробнее каждый из этих случаев.
1. ONYX PROTOCOL
Тип инцидента: взлом.
Дата инцидента: 1 ноября.
Потери: 2.1 млн. $.
Адреса хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0x085bDfF2C522e8637D4154039Db8746bb8642BfF
- 0x4C9C8661243E9E9a15A35B8873317eb881330c98
Причиной взлома послужила ошибка в смарт-контракте, связанная с "потерей точности"(округления). Эта уязвимость давно известна и наблюдается у всех форков Compound v2, к которым относится и ONYX PROTOCOL. В результате хакер смог манипулировать ценой токенов(PEPE).
Предварительно он задеплоил атакующий смарт-контракт, с помощью которого осуществил взлом. Средства на атаку хакер заранее провел через миксер Tornado.Cash(на графе сервис обозначен зелёным цветом).
Отдельного упоминания заслуживает факт перевода части украденных средств так называемым "попрошайкам"(на графе сервис обозначен синим цветом). Ни для кого ни секрет, что почти при любом взломе на адреса хакеров, содержащих большое количество украденных средств, прилетают транзакции с вложенными просьбами поделится несколькими эфирами. Например, в случае взлома ONYX PROTOCOL можно было увидеть сообщения наподобие этого:
В ответ на четыре из таких сообщений хакер отправил от 0.398 ETH до 13 ETH. Что это было? Пока ответить на этот вопрос сложно. Может быть, это была щедрость хакера. Или же, возможно, это было его гениальный ход. Распределив часть средств между "попрошайками", он создал дополнительные потоки украденных средств, которые будут отрабатываться командами, занимающимися расследованиями криптопреступлений, в том числе и правоохранительными органами. Наивные же люди, получившие столь желанную криптовалюту, теперь могут стать полноценными соучастниками кражи и первыми попасть в руки правосудия. В то время как хакер может оказаться безнаказанным.
2. MEV BOT(0x05f016765c6c601fd05a10dba1abe21a04f924a5)
Тип инцидента: взлом.
Дата инцидента: 7 ноября.
Потери: 2 млн. $.
Адреса хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0x46d9b3dfbc163465ca9e306487cba60bc438f5a2
Данный MEV бот подвергся атаки со стороны хакера 7 ноября. Причиной взлома стало отсутствие контроля доступа к публичной функции 0xf6ebebbb, которую можно было использовать для манипулирования свопами в пулах Curve.
В результате хакер, оформив мгновенный займ и проведя арбитражную сделку, смог обменять 1,339.8 ETH на 6.948 WBTC.
Транзакция атаки:
https://etherscan.io/tx/0xbc08860cd0a08289c41033bdc84b2bb2b0c54a51ceae59620ed9904384287a38
После взлома хакер отправил 937.2 ETH в Tornado.Cash(на графе сервис обозначен зелёным цветом).
3. POLONIEX
Тип инцидента: взлом.
Дата инцидента: 10 ноября.
Потери: 126.4 млн. $
Адрес хакера в сети Bitcoin:
- bc1qnpc7u2ha7ct9c458rrqsawylz9e9j6jvkvzttt
Адрес хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0x0A5984f86200415894821bFEFc1c1De036DbF9e7
Адрес хакера в сети Tron:
- TKK6d1YALy8HCSoCSWWd1ZJhyC9NPPx4wa
Самый крупный взлом ноября. Суммарные потери биржи Poloniex превысили 126 млн. $ на трёх блокчейнах:
- Ethereum - 59.2 млн. $
- TRON - 48.6 млн. $
- BTC - 18.6 млн. $
После взлома хакер стал переводить различные ERC20 токены на сети Ethereum и обменивать их на нативный токен сети: ETH. Это связано с тем, что некоторые смарт-контракты ERC20 токенов содержат blacklist функции. Такие функции позволяют замораживать токены на адресах хакеров. То есть после внесения адреса в чёрный список смарт-контракта ERC20 токена, например, USDT. Переводы этих токенов с санкционного адреса становятся не возможными. Аналогичная ситуация наблюдалась в сети Tron, где менялись различные токены на нативный токен: TRX.
На сегодняшний день средства, переведённые в нативные токены, остаются лежать неподвижно. Полный список адресов хакера можно найти в моём посте, посвящённом взлому Poloniex.
Представители биржи Poloniex пытались связаться с хакером и предлагали ему баг баунти в 10 млн. $. Но хакер так и не ответил. В сообщении, присланном хакеру, утверждается, что представителям биржи удалось идентифицировать хакера.
4. Raft.fi
Тип инцидента: взлом.
Дата инцидента: 10 ноября.
Потери: 3.3 млн. $
Адрес хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0xc1f2b71A502B551a65Eee9C96318aFdD5fd439fA
Взлом Raft.fi стал одним из самых запоминающихся взломов не только ноября, но можно с уверенностью сказать, что и всего 2023 года. И запомнился он в первую очередь не столько украденной суммой, а ошибкой хакера, из-за которой последний потерял 1570 ETH(3.3 млн. $).
Одной из своих транзакцией хакер отправил 1570 ETH на нулевой адрес. Тем самым он фактически их сжёг.
В итоге хакер остался лишь с 146.95 ETH, 140 из которых он отправил в миксер Tornado.Cash.
5. Kronos Research Hacker
Тип инцидента: взлом.
Дата инцидента: 18 ноября.
Потери: 26 млн. $
Адрес хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0x2b0502FDab4e221dcD492c058255D2073d50A3ae
Крипто трейдинговая и инвестиционная компания Kronos Research подверглась атаки 18 ноября, в результате которой фирма потеряла около 26 млн. $. Причиной взлома стала компрометация API ключей фирмы.
После взлома хакер перевёл все украденные активы в сеть Ethereum и распределил их на несколько адресов.
Kronos Research предложила хакеру 10% от украденной суммы в виде баг баунти, однако до сих пор хакер средства не вернул.
6. Heco Chain and HTX
Тип инцидента: взлом.
Дата инцидента: 22 ноября.
Потери: 97.5 млн. $
Адрес хакера в сети Ethereum(на графе сервис обозначены красным цветом):
- 0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
Хакеру удалось взломать мост HECO Chain Bridge на 85 млн. $, а также украсть 12.5 млн. $ у HTX(ранее Huobi). Напомним, что именно HTX в своё время запустила блокчейн HECO Chain. С большой долей вероятности в обоих случаях хакеру удалось получить доступ к приватным ключам и вывести средства из под контроля HTX.
После взлома начался обычный процесс обмена ERC20 токенов на ETH и распределении их на отдельные промежуточные адреса.
Адреса, на которых на сегодняшний день находятся украденные средства:
- 0xe47e6dA16Bb83EB0FD26b3F29b15CE8Fab089B9e - 7,375.08 ETH(16,474,808 $)
- 0xEdBdCb1b763Ef7920978c700007Ab1F05b18b8f6 - 11,221.122001 ETH (25,097,942.92 $)
- 0x7bEfDBB89C21863E910310A36Da5058704552935 - 11,220 ETH (25,095,433 $)
- 0x8DC70E0305c0f19d926AC8F07b61C5C2cfb9Ab75 - 1,122 ETH (2,509,543 $)
- 0xB6baC5CAe1cD4b7e8137bFe5254dFB1CF1F36d0e - 11.22 ETH (25,095.43 $)
- 0x6A40dfe3008Bc3f99907e6DFf4d041F933493411 - 7886.9 ETH(15,884,216.6 $)
- 0x640e567a5041c7108033dadb0b47a3f7aedd661b - 1353.8 ETH(2,726,553.2 $)
- 0x945647f6225a44e35a0ea50f9fe2b4321794aa29 - 456.4 ETH(919,189.6 $)
- 0x7abd8dda6cca1785af2f812b171b98d6924ff5d2 - 307.6 ETH(619,506.4 $)
- 0x493bb5e2a551ae8fa22eff0f964820712ed77dcb - 298.9 ETH(601984.6 $)
- 0x153d99836e197f92a8385ba80afbb57b69de2cc1 - 173.5 ETH(349,429 $)
7. KyberSwap
Тип инцидента: взлом.
Дата инцидента: 22 ноября.
Потери: 47.5 млн. $
Самый интересный взлом ноября. Взлом затронул 6 блокчейнов:
- Arbitrum - 20 млн. $;
- Optimism - 15 млн. $;
- Ethereum - 7.5 млн. $;
- Polygon - 3 млн. $;
- Base - 2 млн. $;
- Avalanche - 23,000 $.
Адреса хакера на сети Ethereum(на графе сервис обозначены красным цветом):
- 0x50275e0b7261559ce1644014d4b78d4aa63be836 - 9.219 ETH (19,154 $)
- 0xc9b826bad20872eb29f9b1d8af4befe8460b50c6 - 3,297.144 WETH (6,851,889.35 $) + 640,340.747 KNC (463,032 $)
- 0x98d69d3ea5f7e03098400a5bedfbe49f2b0b88d3 - 299.826 ETH (623,077 $)
Адреса хакера на сети Arbitrum:
- 0xc9b826bad20872eb29f9b1d8af4befe8460b50c6 - 4,024 WETH+3,987,331.6 ARB+870 wstETH+826,527 DAI+13 WBTC+396,445 axlUSDC+368,092 KNC(16,843,568 $)
- 0x50275e0b7261559ce1644014d4b78d4aa63be836 - 1.87 ETH (3,895 $)
- 0x98d69d3ea5f7e03098400a5bedfbe49f2b0b88d3 - 200 WETH (414,618 $)
- 0x84e66f86c28502c0fc8613e1d9cbbed806f7adb4 - 1,000 WETH (2,074,690 $)
Адреса хакера на сети Optimism:
- 0xc9b826bad20872eb29f9b1d8af4befe8460b50c6 - 2,912 wstETH+1,401 cbETH+841.8 WETH+1,685,047 aOptUSDC + 591,441 OP+7.847 WBTC+258,462 axlUSDC+146,330 DAI+152,002 KNC (15,442,271 $)
Самым интересным в этом взломе является поведение хакера. Изначально он написал, что готов к переговорам и начнёт их после того, как отдохнёт. После этого 30 ноября хакер опубликовал список требований в сети Ethereum в транзакции, предназначенной команде KyberSwap.
Одним из главных условий в этом списке было требование полного контроля над фирмой KyberSwap.
Судя по тому, что хакер с 3 декабря начал отправлять украденные средства в Tornado.Cash, кресло CEO ему не дали)
8. Florence Finance
Тип инцидента: взлом.
Дата инцидента: 28 ноября.
Потери: 1.45 млн. $
Адреса хакера в сети Ethereum(на схеме обозначены красным цветом):
- 0xd0ccf523d198a9e0ef6222ad3d3e3f1919898725
- 0xb087269de7ba93d0db2e12ff164d60f0b3675870
- 0x18d88d253ded3f2c52937a081536697697669025
- 0x808a05462b648ae72451347c9a5f4e75cc16be62
После взлома хакер обменял украденные средства на нативный токен сети ETH, после чего, использовав сервис Thorchain, отправил деньги в сеть Bitcoin.
Адресов хакера на стороне Bitcoin:
- bc1q5gpxwhyqhkpx847ztys2jpyhcunswnqesyngu0
- bc1qrlyk20af5mt9lelu06tgm4n778y2f02uqs2unw
- bc1qzkg02tf4hwlwqhxt7qnct3mymyghgp4fxp2zr8
- bc1qgsps86yman24jg0xntntk8cpqvd3veh96g388k
- bc1qvtpqqyhuh0k35yuuhzxysprtuazr4jzhhatpsk
Для повышения уровня анонимности и разрыва связи с источником средств(кража), хакер использовал сервис Wasabi Wallet 2.0, который даёт возможность участвовать в так называемых Coinjoin транзакций.