Криптовалютная компания Bitfury опубликовала
отчёт о взломе южнокорейской биржи Bithumb, подготовленный её командой аналитиков при помощи набора инструментов анализа данных блокчейнов Crystal, который
был анонсирован в начале года. Хакерская атака привела к потере $31 млн, в том числе 2 016 BTC. Согласно результатам работы аналитиков, большая часть похищенных средств позднее поступила на биржу Yobit.
Bithumb временно приостановила приём депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.
Bithumb выводит активы на холодный кошелёк
Аналитики решили изучить события, которые происходили на бирже за 4 дня до взлома. Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырёх дней.
До 19 июня перемещение средств происходило по следующей схеме:
Перемещение биткоинов на холодный кошелёк Bithumb
Адрес 18x5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.
История изменения остатка по кошельку 18x5
Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса
34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и
3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC. После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали. В общей сложности перевод средств на эти адреса продолжался дольше суток.
На этом этапе биржа перестала использовать буферный адрес 1LhW. Кроме того, размер комиссий для входящих транзакций на адрес 18x5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.
Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.
Bithumb приостанавливает депозиты
Вывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств. Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.
Транзакция с комиссией 2 BTC
Таким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов. Одним из них является собственный кошелёк биржи 18x5, который принял больше всего средств. Остальные 38 адресов, предположительно, принадлежат злоумышленникам. Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.
Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа. Сначала была отправлена крупная транзакция на 1 000 BTC. Согласно результатам анализа Bitfury, в конечном счёт эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.
Похищенные с Bithumb биткоины переводятся на Yobit
Адресу
1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC. Ещё один адрес Yobit –
13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.
Оставшиеся средства отправлялись на Yobit напрямую:
- 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr — 100 BTC
- 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp — 100 BTC
- 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK — 344 BTC
- 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b — 433 BTC
После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC. Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.
29 BTC перемещаются на CoinGaming.io
Таким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.
Ранее биржа
Binance подтвердила, что
заморозила кошельки, которые могут быть связаны с активами, выведенными с биржи WEX.