Криминальные инциденты:
1. Взлом Orbit Chain Bridge
В первый же день 2024 года мы стали свидетелями достаточно большого взлома в сети Ethereum. Был атакован мост Orbit Chain Bridge в сети Ethereum проекта Orbit Chain. Потери составили 70.6 млн. $. Причиной взлома с большой долей вероятности стала компрометация приватных ключей, что позволило хакеру взять под контроль мост и украсть со смарт-контракта моста активы.
После кражи хакер обменял часть активов на ETH, и на сегодняшний день адреса хакера содержат либо нативный токен сети Ethereum ETH, либо стейблкоин DAI.
Исходный адрес хакера:
Адреса хакера, содержащие украденные средства:
● 0x3a886A63c768665A9830886E608d6f9Dc6B4f730 - 10,000,001.32 DAI (10,000,001.32 $);
● 0x5e22cb028865d6A93080d7ab42d2Fe9A0E8dC085 - 4,252.6 ETH (9,742,890 $);
● 0x817bb1761B715a08A9142F99fA7d0cCF73F4C0EF - 4,999,236 DAI (4,999,236 $);
● 0x157a409c2bFfF38209A32e55D3eac1bFc93DD664 - 4,999,121 DAI (4,999,121 $);
● 0x009b60Aab8E64C8F5FE449bd96fA78B1A7fFfcC5 - 9,500 ETH (21,787,500 $);
● 0x589257E07e11E761f31956d54b2323F63ee36B7D - 4,320 ETH (9,899,752 $);
● 0xd283Fa3bd85887725c8982F539CC404A450f7fd9 - 4,000 ETH (9,166,437 $).
Разработчики Orbit Bridge отправили сообщение хакеру
На текущий момент команда пока не выступила с заявлением об истинной причине взлома. Однако уже сейчас есть подозрение, что за взломом моста Orbit Chain Bridge стоит северокорейская группировка Lazarus. За это говорит несколько факторов:
- Взлом моста. В 2022 году Lazarus уже атаковала мосты Ronin Bridge Axie Infinity и Harmony Horizon Bridge.
- Транзакционный паттерн. Наличие центрального адреса и дальнейшее распределение украденных средств между промежуточными адресами.
- Возможная компрометация ключей. Lazarus чаще всего атакуют, используя не уязвимости смарт-контрактов, а через компрометацию приватных ключей, получая возможность переводить средства с скомпрометированных адресов.
Если в итоге окажется, что за атакой стоит северокорейская группировка, остаётся вопрос, как будут отмываться украденные средства. В 2022 и 2023 году почти все миксеры, которыми пользовались Lazarus, либо подверглись санкциям, либо были закрыты. Так, до 8 августа 2022 года Lazarus использовали в сети Ethereum миксер Tornado.Cash, после чего, как правило, переводили микшированные средства в сеть Bitcoin и уже там пользовались одним из Bitcoin миксеров. В разное время это были такие миксеры, как: Chipmixer, Blender.io и Sinbad.
После введения санкций в отношении Tornado.Cash и, как следствие, оттока пользователей из миксера Lazarus перестали пользоваться Tornado.Cash. При этом сам миксер не закрылся, так как работает по децентрализованной модели на базе смарт-контрактов.
В то же время все три Bitcoin миксера(Chipmixer, Blender.io и Sinbad), которыми пользовались Lazarus, и вовсе закрылись. Поэтому на сегодняшний момент не понятно, как они будут отмывать украденные средства. За неимением большого количества вариантов, я думаю, что они могут обратить своё внимание на один из сервисов, которые предоставляют возможность совершения Coinjoin транзакций(Wasabi Wallet, Samurai Wallet).
Coinjoin транзакции - транзакции, в которых принимают участие несколько пользователей и суммы выходов одинаковые, что не даёт возможности связать входы и выходы внутри транзакции. Далее приведёт пример Coinjoin транзакции кошелька Samurai.
Однако стоит заметить, что даже их использование поможет Lazarus бесследно отмыть украденные средства. Во всех предыдущих делах северокорейские хакеры сильно перегревали миксеры и отправляли в них средства, превышающие размеры резервов миксеров. Это приводило к тому, что часто хакеры частично выводили средства, которые они сами депонировали в миксер.
2. Взлом Radiant Capital
2 января займовый протокол Radiant Capital потерял 1902 ETH(4.5 млн. $). Атаке подвергся новый USDC пул проекта в сети Arbitrum.
Причиной взлома стал давноизвестный баг Aave V2, форком которого и является Radiant Capital. Данная уязвимость затрагивает недавно развёрнутые пулы, которые фактически являются пустыми.
После того как проект задеплоил новый пул, у хакера было небольшое окно, используя которое он смог взять мгновенный займ(flash loan) и получил возможность манипулировать ценой залога. Результатом стала потеря проектом 1902 ETH
Большая часть средств до сих пор не потрачена и лежит на адресе хакера:
- 0x826D5F4d8084980366f975e10db6C4Cf1f9dDE6D - 1,769.3 ETH(3,960,011.33 $)
Однако около 133 ETH были распределены по промежуточным адресам. Часть из них было депонирована на сервис stealhex(на схеме обозначена жёлтым цветом). Другая часть была переведена из сети Arbitrum в сеть Ethereum и отправлена небольшими порциями в Tornado.Cash. Небольшая сумма депозитов может говорить либо о том, что хакер тестирует сервис, либо о том, что эта сумма будет использована для атак на другие DeFi сервисы.
3. Взлом Gamma Strategies
4 января подвергся атаке протокол Gamma Strategies в сети Arbitrum. С помощью мгновенного займа хакер смог манипулировать стоимостью депозита и заминтить большое количество LP токенов(токенов провайдера ликвидности). В результате протокол потерял порядка 4 млн. $.
Адрес хакера:
После взлома хакер перевёл средства в сеть Ethereum и отправил часть средств(1000 ETH) в Tornado.Cash. Вторая часть средств(1,240.5 ETH) была переведена на адрес 0xeA723Ce3fE103149873d4bEF21D8544A266cE224, где до сих пор лежит не потраченной.
4. Rug Pull MangoFarm
6 января произошёл первый рагпул 2024 года. Команда проекта MangoFarm, забрав с собой 1.1 млн. $, исчезла из сети. X аккаунт проекта был удалён, а средства начали постепенно переводится на промежуточные адреса. По крайней мере, часть из них была в итоге отправлена на обменник eXch, не использующий KYC политик.
Адреса:
