Криптовалютная компания Bitfury опубликовала отчёт о взломе южнокорейской биржи Bithumb, подготовленный её командой аналитиков при помощи набора инструментов анализа данных блокчейнов Crystal, который был анонсирован в начале года.
Хакерская атака привела к потере $31 млн, в том числе 2 016 BTC.
Согласно результатам работы аналитиков, большая часть похищенных средств позднее поступила на биржу Yobit.Bithumb временно приостановила приём депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.
Bithumb выводит активы на холодный кошелёкАналитики решили изучить события, которые происходили на бирже за 4 дня до взлома.
Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырёх дней.До 19 июня перемещение средств происходило по следующей схеме:Большая часть биткоинов была собрана на адресе 1LhWMukxP6QGhW6TMEZRcqEUW2bFMA4Rwx (далее “1LhW”); С адреса 1LhW транзакции крупного объёма переводились на адрес 18x5Wo3FLQN4t1DLZgV2MoAMWXmCYL9b7M (далее “18x5”).
Перемещение биткоинов на холодный кошелёк BithumbАдрес 18x5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.
История изменения остатка по кошельку 18x5Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и 3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC.
После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали.
В общей сложности перевод средств на эти адреса продолжался дольше суток.На этом этапе биржа перестала использовать буферный адрес 1LhW.
Кроме того, размер комиссий для входящих транзакций на адрес 18x5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.
Bithumb приостанавливает депозитыВывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств.
Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.
Транзакция с комиссией 2 BTCТаким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов.
Одним из них является собственный кошелёк биржи 18x5, который принял больше всего средств.
Остальные 38 адресов, предположительно, принадлежат злоумышленникам.
Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа.
Сначала была отправлена крупная транзакция на 1 000 BTC.
Согласно результатам анализа Bitfury, в конечном счёт эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.
Похищенные с Bithumb биткоины переводятся на YobitАдресу 1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC.
Ещё один адрес Yobit – 13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.Оставшиеся средства отправлялись на Yobit напрямую:1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr?—?100 BTC 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp?—?100 BTC 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK?—?344 BTC 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b?—?433 BTC После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC.
Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.
29 BTC перемещаются на CoinGaming.ioТаким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.Ранее биржа BINANCE подтвердила, что заморозила кошельки, которые могут быть связаны с активами, выведенными с биржи WEX.
