Аналіз схеми злому криптовалютної біржі
Фахівці російської платформи AML-аналітики «КоінКіт» повідомили, що атака на велику криптовалютну біржу Grinex, яка вважається однією з найбільших на ринках, що використовують російську мову, тривала всього п’ять хвилин і була ретельно спланована. За словами аналітиків, злом, внаслідок якого Grinex втратила понад 1 мільярд рублів (еквівалент приблизно $14 мільйонів), складався з трьох етапів. Спочатку невідомі особи здійснили переказ стейблкоїнів USDT з 54 різних адрес на два гаманці в мережі TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs та TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D. На другому етапі активи були конвертовані в TRX через децентралізований протокол SUN.io, що значно ускладнило відстеження транзакцій. Фінальним кроком було консолідування коштів на одному адресі TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa. Розподіл адрес за мережами відбувався наступним чином: 48 адрес у мережі TRON (TRC-20) та п’ять – у мережі Ethereum (ERC-20). Найбільша сума, 6,86 мільйона USDT (понад половину загального обсягу викрадених коштів), знаходилася на адресі TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu. Представники «КоінКіт» зазначають, що схема з подрібненням коштів, подальшою конвертацією через децентралізовані сервіси та фінальною консолідацією є типовою для багатьох масштабних зломів останніх років. Ця методика не потребує використання складних зовнішніх ресурсів, але вимагає ретельної підготовки та глибокого розуміння архітектури гарячих гаманців. “Це не звичайний злом, а комплексна, заздалегідь спланована атака. Зловмисники вивели близько $14 мільйонів за п’ять хвилин з 54 гаманців, що свідчить про підготовку та автоматизацію. Ми вже позначили гаманці зловмисників. Тепер вони завжди під нашим контролем – усі платежі будуть видимі. Звичайно, якщо метою було викрасти гроші, а не завдати шкоди користувачам”, – заявив генеральний директор «КоінКіт» Віталій Горбенко. Спеціалісти компанії TRM Labs, що займається безпекою блокчейну, відзначили, що окрім Grinex, постраждав сервіс TokenSpot. З нього було виведено близько $5000, які надійшли на ту саму адресу, де акумулювалися активи, пов’язані з атакою на Grinex. За оцінкою TRM Labs, зловмисники діяли за заздалегідь підготовленою схемою: переводили кошти в USDT, а потім конвертували їх у TRX через децентралізовану платформу SunSwap. Це дозволило змінити тип активу та ускладнити можливе блокування. Раніше аналітики платформи BitOK стверджували, що атака на біржу Grinex не має ознак операції, пов’язаної з іноземними спецслужбами, як це заявляли представники самої торгової площадки, і більше схожа на класичне викрадення коштів.
Резюме Crypto Top: Атака на Grinex демонструє складні схеми злому, які використовують децентралізовані протоколи для приховування слідів, що може посилити тиск на регуляторів щодо посилення контролю над криптобіржами та покращення механізмів безпеки.