Атака на крупнейшую русскоязычную криптобиржу Grinex длилась всего пять минут и была подготовлена заранее, сообщили Bits.media специалисты российской платформы AML-аналитики «КоинКит».
По словам аналитиков, взлом, в результате которого Grinex потеряла более 1 млрд рублей, произошел за три этапа. Сначала неизвестные отправили стейблкоины USDT с 54 адресов на два кошелька в сети TRON:
TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs и TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D. Затем конвертировали активы в TRX через децентрализованный протокол SUN.io, что усложнило отслеживание транзакций. На завершающем этапе средства были объединены и переведены на один адрес TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa.
Распределение по сетям выглядело следующим образом: 48 адресов в сети TRON (TRC-20) и пять — в сети Эфириума (ERC-20). На крупнейшем из пострадавших адресом, TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu, было 6,86 млн USDT, более половины от общего объема похищенных средств.
По мнению представителей «КоинКит», схема с дроблением средств, последующей конвертацией через децентрализованные сервисы и финальной консолидацией характерна для многих крупных взломов за последние несколько лет. Схема не требует использования сложных внешних ресурсов, но предполагает тщательную подготовку и понимание архитектуры горячих кошельков.
«Это не рядовой взлом, а комплексная, заранее спланированная атака. Злоумышленники вывели около $14 млн за пять минут с 54 кошельков, что говорит о подготовке и автоматизации. Мы уже пометили кошельки злоумышленников. Теперь они всегда под контролем — все платежи будут видны. Если, конечно, цель была похитить деньги, а не нанести урон российским пользователям», — сказал генеральный директор КоинКит Виталий Горбенко.
Специалисты работающей в области блокчейн-безопасности компании TRM Labs отметили, что помимо Grinex пострадал сервис TokenSpot. С него было выведено около $5000, которые поступили на тот же адрес, где аккумулировались связанные с атакой на биржу Grinex активы. По оценке TRM Labs, злоумышленники действовали по заранее подготовленной схеме: переводили средства в USDT, а затем конвертировали их в TRX через децентрализованную платформу SunSwap, что позволило изменить тип актива и усложнить возможную блокировку.
Ранее аналитики платформы BitOK заявили, что атака на биржу Grinex не имеет признаков операции, связанной с зарубежными спецслужбами, как утверждали представители самой торговой площадки, и больше напоминает классическое хищение средств.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба