В июне 2023 года популярный не-кастодиальный кошелек Atomic Wallet подвергся хакерской атаке, жертвами которой стали сотни пользователей. По предварительным данным, преступники вывели из кошельков пользователей активы на сумму от $35 до $100 миллионов. Максимальный ущерб от одной атаки составил почти $8 миллионов.
Эта ситуация не только подорвала доверие к безопасности кошелька, но и высветила критические уязвимости в отраслевых стандартах безопасности.
Чтобы разобраться в деталях этой хакерской атаки, мы пригласили экспертов из компании Match Systems — лидеров в области финансовых расследований и блокчейн-аналитики. Они расскажут, какие слабости в архитектуре кошелька могли быть использованы злоумышленниками, что мешает вернуть украденные средства, и как пользователи могут обезопасить свои активы.
Как это могло произойти?
Одной из главных причин хакерской атаки, возможно, стали уязвимости в архитектуре Atomic Wallet.
По данным из открытых источников, копии приватных ключей и фраз восстановления пользователей могли передаваться на серверы компании. Эти данные либо хранились с недостаточной степенью защиты, либо их случайно (или намеренно) скомпрометировали.
Мы нашли у MetaSleuth, как примерно выглядит это движение средств. Снизу — определенная схема, включающая четыре типа адресов:
Кроме того, появились предположения, что злоумышленники заменили оригинальные файлы обновлений на вредоносные, что позволило им получить доступ к приватным ключам пользователей. Интересно, что после взлома, Atomic Wallet оперативно закрыл доступ к страницам, где можно было скачать десктопные версии приложения для Windows, macOS и Linux. Это подтверждает версию о том, что проблема кроется именно в серверной инфраструктуре компании.
Не исключено также, что недостаточная случайность генерации ключей восстановления стала слабым звеном, которое позволило атакующим получить доступ к средствам пользователей.
Какую информацию можно получить из анализа таких уязвимостей, и как это влияет на процесс возврата средств?
Match Systems: Этот вопрос требует детального технического анализа, однако мы можем обсудить лишь общие принципы и методологии, которые применяются для восстановления средств. Конкретные данные об уязвимостях и их анализ раскрывать нецелесообразно с точки зрения безопасности, так как это может создать дополнительные риски.
Путь украденных средств: почему сложно отследить?
Преступники использовали сложные методы отмывания средств, чтобы замести следы. В этом процессе активно задействовались сервисы, где отсутствуют процедуры KYC (проверка личности) и AML (противодействие отмыванию денег). Среди них:
- Популярные кроссчейн-платформы, такие как SimpleSwap, SunSwap и SwftSwap
- Блокчейны и мосты, такие как Klaytn и Orbit (транзакции в которых трудно отслеживать)
Во многом мы опираемся на данные Match Systems: объем транзакций через Sinbad.io в июне 2023 года увеличился втрое, а адреса, связанные с SwftSwap, показали также высокий рост активности:
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
Некоторые из своп-сервисов работают на ликвидности крупных бирж, таких как Binance и Huobi, что позволяет злоумышленникам незаметно пропускать средства через "горячие кошельки" этих бирж. По данным аналитиков, общая сумма отмытых средств может превышать десятки миллионов долларов, что существенно осложняет их возврат.
Какие инструменты вы используете для отслеживания средств, прошедших через своп-сервисы и миксеры?
Match Systems: Для отслеживания средств через различные сервисы, включая своп-сервисы и миксеры, мы применяем индивидуальные инструменты, подходящие для каждого конкретного случая. Однако, основная ценность заключается в наших специалистах: их профессионализму и уникальному опыту, которые позволяют разрабатывать стратегии и тактики для работы с анонимными сервисами и эффективно распутывать сложные схемы. Этот подход помогает нам достигать значительных результатов, не раскрывая технические аспекты.
С какими трудностями вы сталкиваетесь при работе с такими анонимными сервисами?
Match Systems: Основная сложность в работе с такими сервисами заключается в том, что они часто скрывают транзакции и не взаимодействуют с правоохранительными органами, поскольку их деятельность часто пересекается с теневыми практиками или даже даркнетом. Например, миксеры, используемые для отмывания средств, добытых преступным путем, зачастую вообще не сотрудничают с органами правопорядка. Это усложняет процесс, так как требует значительных дополнительных ресурсов и сложных методик.
Роль блокчейн-аналитики в расследовании взлома
Для отслеживания движения украденных средств используются специализированные инструменты аналитики, включая нативные блокчейн-эксплореры и платформы, такие как Phalcon. Они помогают выявлять сложные цепочки транзакций, включая использование обернутых токенов и сложных обменов через несколько сетей.
Архитектура Phalcon из документации выглядит так:
У Match Systems, например, есть база данных отмеченных адресов, участвующих в нелегальных операциях, это позволяет отслеживать "грязные" средства и предотвращать дальнейшее их использование.
Насколько трудно работать с платформами, которые не ведут активное взаимодействие с правоохранительными органами?
Match Systems: Работа с такими платформами действительно затруднена, так как они либо не отвечают правоохранительным органам, либо предоставляют минимально полезную информацию. Часто они не хранят данных или их данные крайне неинформативны. Стоит отметить, что платформы с подобной политикой в отношении регуляторов нередко попадают под санкции и регуляторное давление, что со временем оказывает негативное влияние на их репутацию.
Можете ли вы рассказать, как используете блокчейн-эксплореры и нативные инструменты для анализа?
Match Systems: Мы активно используем блокчейн-эксплореры и другие нативные инструменты для анализа транзакций и выявления подозрительной активности. Эти инструменты помогают нам воссоздавать цепочку движения средств и решать конкретные кейсы, даже используя только базовые возможности. Более того, мы сотрудничаем с различными эксплорерами, вносим разметки для повышения точности и эффективности в расследованиях.
Отсутствие взаимодействия со стороны Atomic Wallet: как это влияет на расследование?
Одна из самых острых проблем в расследовании этого взлома — это недостаточная поддержка компании в процессе поиска и возврата украденных средств. Atomic Wallet ограничился заявлением, что атака затронула менее 0,1% клиентской базы, а убытки составили менее $35 миллионов.
Однако данные, полученные от аналитической компании Elliptic, опровергли эту информацию, показав, что общая сумма ущерба может достигать $100 миллионов. Более того, Elliptic предположила, кто стоит за этой атакой и какие методы они использовали.
В то же время группа из 50 инвесторов из России и стран Евразии, потерявших около $12 миллионов, подала коллективный иск против Atomic Wallet. Руководит процессом адвокат Макс Гутброд, основатель юридической фирмы. По его словам, дело сосредоточено на двух основных аспектах:
- Упущения в безопасности платформы, которые сделали возможным взлом.
- Неспособность компании своевременно сообщить о преступлении как пользователям, так и правоохранительным органам.
Источник: X (ex. Twitter) - признан экстремистской организацией
«Atomic Wallet не предоставила нашим клиентам никакой информации о взломе и даже не обратилась в полицию, чтобы сообщить об этом» — заявил Гутброд.
Также пострадавшие от этой хакерской атаки делали различные посты в соц. сетях, вот пример с Reddit, который мы перевели для вас:
Насколько критично для расследования отсутствие содействия от Atomic Wallet?
Match Systems: Сотрудничество с платформой, такой как Atomic Wallet, играет важную роль в успешном возврате средств и ускорении процесса расследования. В случаях, когда платформа активно взаимодействует, предоставляя всю необходимую информацию, это позволяет нам глубже погрузиться в расследование и оперативно отслеживать активы. На практике мы сталкиваемся с платформами и биржами, которые открыто сотрудничают и позитивно настроены на помощь, что благоприятно сказывается на результатах работы и ускоряет процесс расследования.
Есть ли альтернативные методы для сбора информации, когда компания отказывается сотрудничать?
Match Systems: Если компания отказывается сотрудничать, мы используем независимые методы расследования, опираясь на доступные инструменты и сторонние ресурсы. Это позволяет нам получать нужные данные, даже если сотрудничество с платформой отсутствует.
Как защитить свои крипто-кошельки?
— Храните крупные суммы на аппаратных кошельках. Это минимизирует риски, связанные с взломом онлайн-платформ;
— Регулярно обновляйте ПО. Однако убедитесь, что скачиваете обновления только с официального сайта;
— Используйте мультиподпись. Это добавит дополнительный уровень защиты к вашим средствам;
— Будьте внимательны к подозрительным действиям. Проверяйте активность своего кошелька и обращайтесь к аналитическим платформам в случае подозрений;
— Сотрудничайте с профессионалами. Если ваши средства уже украдены, обращайтесь к компаниям, которые специализируются на расследовании кибератак.
