Что если $68 миллионов, похищенные из-за сложной атаки на крипто-кошелек, возвращаются владельцу?
Это не фантастика, а реальная история, случившаяся недавно в крипте. В ходе расследования эксперты, применив передовые методы кибербезопасности и уникальные аналитические инструменты, смогли раскрыть преступление и вернуть практически все украденные средства.
Источник: X (ex. Twitter — признан экстремистской организацией)
Эта история касается инцидента с атакой «address poisoning» — ловушки, в которую попался один из крипто-пользователей, отправивший 1,155 WBTC злоумышленнику. Благодаря грамотному подходу, вовремя подключившимся профессионалам, и даже блокчейн-сообщениям, которые стали связующим звеном между жертвой и преступником, удалось вернуть более 96% утраченных средств.
Роль Match Systems в этом процессе оказалась решающей. Это кейс показывает, что даже в анонимной децентрализованной крипто-среде можно добиться справедливости, если есть нужные знания, опыт и, что немаловажно, желание вернуть украденное.
Как раз их мы и пригласили, чтобы побольше разобраться в этом инциденте и задать дополнительные вопросы.
Суть инцидента — как произошла кража?
Атака, которая привела к краже $68 миллионов, использовала довольно хитрый механизм, называемый «address poisoning» (отравление адреса).
В чем суть?
Злоумышленник создает поддельный адрес, который выглядит как доверенный, и жертва, по ошибке, отправляет средства именно туда. В этом случае, крипто-холдер перевел 1,155 WBTC (Wrapped Bitcoin) на адрес, который казался безопасным, потому что этот адрес, по видимости, был связан с предыдущими транзакциями.
Как это работает? Злоумышленник заранее манипулирует адресами так, чтобы на его адрес с нужной суммой уже были переведены средства. Это создает видимость, что адрес «проверенный», так как крипто-холдер уже использовал его раньше. В итоге жертва, доверяя системе, отправляет огромное количество средств — в данном случае, WBTC, который на момент перевода стоил около $68 миллионов.
Когда началось расследование, типичные оправдания злоумышленников звучали так:
«О нет, мы получили украденные деньги. Это не наши украденные деньги»
Это вполне обычная реакция от тех, кто вовлечен в преступление, пытаясь оправдать свои действия. Однако, как подчеркнул Кутин, СЕО Match Systems, важно помнить принцип должной осмотрительности:
«Вы должны знать очень простой принцип должной осмотрительности»
Самое страшное в этой ситуации — это ошибка доверия. Криптовалютные транзакции, как правило, необратимы, и злоумышленник мгновенно присваивает себе средства. А жертва, не проверив адрес, по сути, попала в ловушку, подготовленную хакером.
Какие особенности address poisoning атак вы выявили в этом случае, которые могут помочь в предотвращении подобных инцидентов в будущем? Как можно улучшить текущие методы защиты пользователей от таких атак?
Match Systems: Чтобы минимизировать риски, рекомендуются следующие меры:
- Не используйте адреса из истории кошелька для отправки средств. Всегда вручную вводите или проверяйте адрес получателя.
- Внимательно перепроверяйте адрес контрагента. Не ограничивайтесь просмотром первых и последних символов — проверяйте весь адрес целиком.
- Проведите тестовую транзакцию. Перед отправкой крупных сумм переведите небольшую часть средств, чтобы убедиться, что адрес верный. Если возможно, делите крупные переводы на несколько частей.
- Используйте функции кошелька для сохранения контактов. Современные приложения позволяют записывать адреса контрагентов в виде контактов, что минимизирует риск ошибки.
- Проверяйте адрес получателя через AML-сервисы. Эти инструменты помогают выявить адреса, связанные с мошенническими или незаконными действиями.
Расследование и выявление цифровых следов
После кражи $68 млн, команда Match Systems начала работать над расследованием и установлением личности злоумышленника. Но вот в чем суть — хакеры давно знают, как избегать простых методов отслеживания, таких как использование зарегистрированных обменников, которые могут выдать их данные. Это усложняет задачу, и расследование в таких случаях требует особого подхода.
С помощью инструмента отслеживания цепочек MistTrack было обнаружено, что хакер обменял поступившие ему 1155 WBTC на 22955 ETH и перевел их на следующие 10 адресов:
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
Источник: Slowmist
Что же делала команда Match Systems?
Они начали искать цифровые следы, которые могли бы привести к хакеру. Например, IP-адреса, с которых происходили транзакции, и цифровой отпечаток устройства — совокупность данных, которые позволяют «идентифицировать» устройство, использованное для атак. Эти данные включают информацию о браузере, операционной системе, типе устройства и даже такие нюансы, как скорость набора текста. И, хотя это не дает прямой идентификации личности, эти улики дают ценное представление о том, кто мог стоять за атакой.
Расследование SlowMist показало, что с 19 апреля по 3 мая этот адрес инициировал более двадцати тысяч мелких транзакций, рассылая небольшие суммы ETH по различным адресам в фишинговых целях.
Источник: Slowmist
Схема, показанная на изображении выше, указывает на то, что хакер использовал широкомасштабный сетевой подход, предполагающий наличие нескольких жертв. Благодаря обширному сканированию были выявлены и другие связанные с фишингом инциденты.
Это не просто сбор каких-то случайных данных — тут понадобился профессионализм и продвинутые аналитические методы. Команда использовала различные инструменты для анализа и сопоставления этих улик с ранее известными цифровыми следами. Например, Slowmist помогли выяснить, что определенные IP-адреса были связаны с мобильными станциями в Гонконге. Такое внимание к деталям позволило сузить круг подозреваемых и собрать нужные доказательства для дальнейших переговоров.
Источник: Slowmist
Именно такие аналитические методы и тщательная работа с цифровыми следами помогли установить связь с преступником, несмотря на его попытки скрыть следы. Это пример того, как в современном мире крипто-слежения важна не только техническая база, но и высококвалифицированная работа команды, которая не просто «считывает» данные, а умеет их правильно интерпретировать и использовать в расследованиях.
Каковы основные трудности, с которыми вы сталкиваетесь при расследованиях подобных инцидентов, особенно когда криптовалюты были обменены на другие активы, как в данном случае с эфиром? Какие инструменты и подходы использует ваша команда для их преодоления?
Match Systems: Блокчейн достаточно прозрачный инструмент для проведения расследований, за исключением некоторых случаев, в частности использования анонимных транзакций, в таких блокчейнах как Monero. Команда наших аналитиков обладает многолетним опытом работы в области анализа блокчейнов и успешно занимается расследованием хищений крипто-активов даже в сложных случаях.
Используемые инструменты:
— Блокчейн-аналитические платформы: такие как Crystal, MetaSleuth, а также анализатор MS_Engine, разработанный компанией Match Systems.
— Инструменты вспомогательного анализа: включают Phalcon, Pulsy, Allchainbridge explorer и многие другие. Эти инструменты позволяют эффективно расследовать swap-транзакции и операции через криптовалютные мосты, используемые для перевода средств между различными блокчейнами.
Почему, несмотря на наличие косвенных доказательств, невозможно провести прямое обвинение злоумышленника? Какую роль в этих расследованиях играет соблюдение принципов due diligence и что, по вашему мнению, должно измениться в индустрии, чтобы повысить эффективность расследований?
Match Systems: Как правило, на начальном этапе расследования удается собрать косвенные доказательства, которые могут связать определенных лиц с незаконной деятельностью. Эти доказательства включают:
— аккаунты в мессенджерах, таких как Telegram;
— IP-адреса, используемые при подозрительных операциях;
— прямые и косвенные связи с учетными записями на криптовалютных биржах.
После выявления таких первичных улик к процессу подключаются правоохранительные органы. Их задача — в строгом соответствии с законодательством конкретной юрисдикции подтвердить причастность подозреваемых к преступной деятельности и выдвинуть официальные обвинения.
Среди ключевых мер можно отметить необходимость повсеместного внедрения таких процедур как AML (Anti-Money Laundering), KYC (Know Your Customer), KYT (Know Your Transaction) и др.
Возврат средств: ход переговоров
Помимо экспертов в кибербезопасности, пострадавший также делал попытки связаться со злоумышленником, мы перевели сообщения из блокчейна для вас:
Источник: Etherscan
После того как команда Match Systems собрала достаточно цифровых следов и определила местоположение злоумышленника, наступил ключевой момент — как вернуть средства? В этом случае традиционные методы не работали. Так как преступник избегал использования регулируемых обменников и не пытался вывести деньги через стандартные каналы, это усложнило задачу. Но вместо того, чтобы сразу начинать преследование, было принято решение попробовать использовать переговоры, и все это благодаря возможностям, которые предоставляет блокчейн.
Как только улики были собраны, команда Match Systems поняла, что прямой контакт с преступником может быть возможен через блокчейн-сообщения. Это своего рода уникальная особенность криптовалют — они позволяют не только совершать анонимные транзакции, но и отправлять сообщения, которые могут быть использованы для связи с другими пользователями. Именно так и получилось: команда смогла инициировать диалог с злоумышленником.
На помощь пришел Cryptex, криптовалютная биржа, которая подключилась к переговорам и сыграла ключевую роль в организации всего процесса. Благодаря их участию, коммуникация стала более структурированной и безопасной. Они помогли наладить канал для общения и убедить преступника вернуть средства, предложив определенные условия. В рамках переговоров было достигнуто соглашение: злоумышленник согласился вернуть большую часть украденных средств.
Источник: Facebook (признан экстремистской организацией)
Результатом этих переговоров стало то, что 22,960 ETH (около 96% от всей украденной суммы) вернулись обратно к жертве. Конечно, дело не обошлось без определенных уступок, но это все же было лучше, чем если бы преступник остался безнаказанным, а жертва — без средств.
Этот случай показывает, как блокчейн, наряду с техническими средствами и профессионализмом аналитиков, может стать инструментом не только для транзакций, но и для разрешения конфликтов. И, несмотря на анонимность, переговоры могут стать важным инструментом для восстановления справедливости.
Что именно вы имеете в виду под «усилением переговорной позиции» при взаимодействии с преступниками? Какие конкретно элементы анализа данных помогли вам достичь успешного возврата средств?
Match Systems: После обращения клиента наша команда незамедлительно приступает к аналитической работе. Мы применяем комплексный подход, который включает:
— Проведение аналитики инцидента: сбор и анализ первичных данных для выявления ключевых деталей.
— Взаимодействие с участниками рынка: от криптовалютных бирж до других платформ, которые могут предоставить важную информацию.
— Поиск в базах данных: использование открытых и специализированных ресурсов для поиска цифровых следов.
— Применение собственных аналитических инструментов: уникальные разработки компании позволяют находить закономерности и связи даже в самых сложных кейсах.
Какие были основные вызовы в переговорах с обеими сторонами — жертвой и преступником? Какие стратегии вы использовали для того, чтобы вернуть почти всю сумму, не прибегая к юридическим мерам?
Match Systems: Переговоры с преступниками — всегда сложный и рискованный процесс, где любой неверный шаг может привести к срыву сделки. Важно найти баланс: не «пережать» злоумышленника, чтобы не вызвать его агрессию или отказ от сотрудничества, но и не «недожать», что могло бы затруднить возврат похищенных средств.
В данном случае переговоры проводились с участием наших сотрудников, обладающих релевантным опытом, включая экспертные знания в юридической сфере. Это позволило разработать грамотную стратегию общения, эффективно использовать аргументы, основанные на наличии весомых улик, которые могли бы идентифицировать хакера, убедить злоумышленника в том, что сотрудничество — лучший вариант в сложившейся ситуации.
Уроки кейса для индустрии
Этот случай с возвратом украденных средств предоставляет несколько важных уроков для крипто-индустрии, которые стоит учитывать всем участникам рынка. Первый — это необходимость сотрудничества между различными сторонами: пользователями, криптобиржами и экспертами по безопасности. Важно понимать, что даже если вы являетесь опытным пользователем, это не значит, что всегда можно избежать ошибок. В таком случае помощь специалистов, таких как Match Systems или Cryptex, может сыграть решающую роль в восстановлении средств и расследовании инцидента.
Кроме того, этот кейс подчеркивает еще одну важную вещь: внимательная проверка адресов перед транзакцией. В криптовалютном мире, где транзакции не поддаются возврату, такая ошибка может стоить целое состояние. Address poisoning — это не что-то новое, и такие атаки могут происходить и в будущем, если пользователи будут продолжать игнорировать меры предосторожности.
Именно такие инциденты показывают важность использования проверенных и безопасных методов для проведения операций в криптовалютах. Сотрудничество между экосистемами и вовлеченными сторонами, а также постоянная повышенная бдительность на каждом этапе сделки — это основа для более безопасного будущего криптовалютной индустрии.
