З біржі Grinex вивели близько 1 млрд рублів за п'ять хвилин.
Атака на найбільшу російськомовну криптобіржу Grinex тривала лише п'ять хвилин і була підготовлена заздалегідь, повідомили фахівці російської платформи AML-аналітики «КоїнКіт».
За словами аналітиків, злом, в результаті якого Grinex втратила більше 1 млрд рублів, стався за три етапи. Спочатку невідомі відправили стейблкоіни USDT з 54 адрес на два гаманці в мережі TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs та TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D. Потім конвертували активи TRX через децентралізований протокол SUN.io, що ускладнило відстеження транзакцій. На завершальному етапі кошти були об'єднані та переведені на одну адресу TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa.
Розподіл по мережах виглядав наступним чином: 48 адрес у мережі TRON (TRC-20) та п'ять – у мережі Ефіріуму (ERC-20). На найбільшому з постраждалих адресою, TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu, було 6,86 млн USDT, більше половини від загального обсягу викрадених коштів.
На думку представників «КоїнКіт», схема із дробленням коштів, подальшою конвертацією через децентралізовані сервіси та фінальною консолідацією характерна для багатьох великих зломів за останні кілька років. Схема вимагає використання складних зовнішніх ресурсів, але передбачає ретельну підготовку і розуміння архітектури гарячих гаманців.
«Це не рядовий злом, а комплексна, заздалегідь спланована атака. Зловмисники вивели близько $14 млн за п'ять хвилин із 54 гаманців, що говорить про підготовку та автоматизацію. Ми вже помітили гаманці зловмисників. Тепер вони завжди під контролем — усі платежі буде видно. Якщо, звичайно, мета була викрасти гроші, а не завдати шкоди російським користувачам», — сказав генеральний директор КоінКіт Віталій Горбенко.
Фахівці компанії TRM Labs, що працює в області блокчейн-безпеки, зазначили, що крім Grinex постраждав сервіс TokenSpot. З нього було виведено близько $5000, які надійшли на ту ж адресу, де акумулювалися активи, пов'язані з атакою на біржу Grinex. За оцінкою TRM Labs, зловмисники діяли за заздалегідь підготовленою схемою: переводили кошти в USDT, а потім конвертували їх у TRX через децентралізовану платформу SunSwap, що дозволило змінити тип активу та ускладнити можливе блокування.
Раніше аналітики платформи BitOK заявили, що атака на біржу Grinex не має ознак операції, пов'язаної із закордонними спецслужбами, як стверджували представники торгового майданчика, і більше нагадує класичне розкрадання коштів.