Bitfury: Похищенные с Bithumb биткоины были переведены на биржу Yobit

Bitfury: Похищенные с Bithumb биткоины были переведены на биржу Yobit

04.11.2018
0
Евгений Петлин

Криптовалютная компания Bitfury опубликовала отчёт о взломе южнокорейской биржи Bithumb, подготовленный её командой аналитиков при помощи набора инструментов анализа данных блокчейнов Crystal, который был анонсирован в начале года. Хакерская атака привела к потере $31 млн, в том числе 2 016 BTC. Согласно результатам работы аналитиков, большая часть похищенных средств позднее поступила на биржу Yobit.

Bithumb временно приостановила приём депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.

1_-MG1DL7xtyqCO-p0ih2xaQ.png
Bithumb выводит активы на холодный кошелёк

Аналитики решили изучить события, которые происходили на бирже за 4 дня до взлома. Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырёх дней.

До 19 июня перемещение средств происходило по следующей схеме:

1_kWfRC8bffKbBoF6KuDHHxA.png
Перемещение биткоинов на холодный кошелёк Bithumb

Адрес 18×5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.

1_FV6xHpDFWp7na6ka1rDwcg (1).png
История изменения остатка по кошельку 18×5

Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и 3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC. После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали. В общей сложности перевод средств на эти адреса продолжался дольше суток.

На этом этапе биржа перестала использовать буферный адрес 1LhW. Кроме того, размер комиссий для входящих транзакций на адрес 18×5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.

Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.

1_m6lgyJ0Bs2d-Dw-pkVp_nQ.png
Bithumb приостанавливает депозиты

Вывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств. Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.

1_yDC3_viUJFWFyTmofk_-fw.png
Транзакция с комиссией 2 BTC

Таким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов. Одним из них является собственный кошелёк биржи 18×5, который принял больше всего средств. Остальные 38 адресов, предположительно, принадлежат злоумышленникам. Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.

Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа. Сначала была отправлена крупная транзакция на 1 000 BTC. Согласно результатам анализа Bitfury, в конечном счёт эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.

1_9esuVM7yBePakzWwlJRWwg.png
Похищенные с Bithumb биткоины переводятся на Yobit

Адресу 1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC. Ещё один адрес Yobit – 13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.

Оставшиеся средства отправлялись на Yobit напрямую:

  • 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr — 100 BTC
  • 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp — 100 BTC
  • 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK — 344 BTC
  • 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b — 433 BTC

После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC. Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.

1_F6pSHpfqZR5GQSY6C9PraA.png
29 BTC перемещаются на CoinGaming.io

Таким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.

Ранее биржа Binance подтвердила, что заморозила кошельки, которые могут быть связаны с активами, выведенными с биржи WEX.


0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x