Криптовалютная компания Bitfury опубликовала отчёт о взломе южнокорейской биржи Bithumb, подготовленный её командой аналитиков при помощи набора инструментов анализа данных блокчейнов Crystal, который был анонсирован в начале года. Хакерская атака привела к потере $31 млн, в том числе 2 016 BTC. Согласно результатам работы аналитиков, большая часть похищенных средств позднее поступила на биржу Yobit.
Bithumb временно приостановила приём депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.
Bithumb выводит активы на холодный кошелёк
Аналитики решили изучить события, которые происходили на бирже за 4 дня до взлома. Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырёх дней.
До 19 июня перемещение средств происходило по следующей схеме:
- Большая часть биткоинов была собрана на адресе 1LhWMukxP6QGhW6TMEZRcqEUW2bFMA4Rwx (далее “1LhW”);
- С адреса 1LhW транзакции крупного объёма переводились на адрес 18x5Wo3FLQN4t1DLZgV2MoAMWXmCYL9b7M (далее “18×5”).
Перемещение биткоинов на холодный кошелёк Bithumb
Адрес 18×5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.
История изменения остатка по кошельку 18×5
Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и 3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC. После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали. В общей сложности перевод средств на эти адреса продолжался дольше суток.
На этом этапе биржа перестала использовать буферный адрес 1LhW. Кроме того, размер комиссий для входящих транзакций на адрес 18×5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.
Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.
Bithumb приостанавливает депозиты
Вывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств. Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.
Транзакция с комиссией 2 BTC
Таким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов. Одним из них является собственный кошелёк биржи 18×5, который принял больше всего средств. Остальные 38 адресов, предположительно, принадлежат злоумышленникам. Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.
Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа. Сначала была отправлена крупная транзакция на 1 000 BTC. Согласно результатам анализа Bitfury, в конечном счёт эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.
Похищенные с Bithumb биткоины переводятся на Yobit
Адресу 1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC. Ещё один адрес Yobit – 13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.
Оставшиеся средства отправлялись на Yobit напрямую:
- 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr — 100 BTC
- 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp — 100 BTC
- 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK — 344 BTC
- 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b — 433 BTC
После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC. Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.
29 BTC перемещаются на CoinGaming.io
Таким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.
Ранее биржа Binance подтвердила, что заморозила кошельки, которые могут быть связаны с активами, выведенными с биржи WEX.
