Bitfury: Похищенные с Bithumb биткоины были переведены на биржу Yobit

Криптовалютная компания Bitfury опубликовала отчёт о взломе южнокорейской биржи Bithumb, подготовленный её командой аналитиков при помощи набора инструментов анализа данных блокчейнов Crystal, который был анонсирован в начале года. Хакерская атака привела к потере $31 млн, в том числе 2 016 BTC. Согласно результатам работы аналитиков, большая часть похищенных средств позднее поступила на биржу Yobit.

Bithumb временно приостановила приём депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.

Bithumb выводит активы на холодный кошелёк

Аналитики решили изучить события, которые происходили на бирже за 4 дня до взлома. Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырёх дней.

До 19 июня перемещение средств происходило по следующей схеме:

  • Большая часть биткоинов была собрана на адресе 1LhWMukxP6QGhW6TMEZRcqEUW2bFMA4Rwx (далее “1LhW”);
  • С адреса 1LhW транзакции крупного объёма переводились на адрес 18x5Wo3FLQN4t1DLZgV2MoAMWXmCYL9b7M (далее “18×5”).

Перемещение биткоинов на холодный кошелёк Bithumb

Адрес 18×5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.

История изменения остатка по кошельку 18×5

Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и 3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC. После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали. В общей сложности перевод средств на эти адреса продолжался дольше суток.

На этом этапе биржа перестала использовать буферный адрес 1LhW. Кроме того, размер комиссий для входящих транзакций на адрес 18×5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.

Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.

Bithumb приостанавливает депозиты

Вывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств. Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.

Транзакция с комиссией 2 BTC

Таким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов. Одним из них является собственный кошелёк биржи 18×5, который принял больше всего средств. Остальные 38 адресов, предположительно, принадлежат злоумышленникам. Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.

Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа. Сначала была отправлена крупная транзакция на 1 000 BTC. Согласно результатам анализа Bitfury, в конечном счёт эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.

Похищенные с Bithumb биткоины переводятся на Yobit

Адресу 1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC. Ещё один адрес Yobit – 13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.

Оставшиеся средства отправлялись на Yobit напрямую:

  • 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr — 100 BTC
  • 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp — 100 BTC
  • 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK — 344 BTC
  • 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b — 433 BTC

После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC. Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.

29 BTC перемещаются на CoinGaming.io

Таким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.

Ранее биржа Binance подтвердила, что заморозила кошельки, которые могут быть связаны с активами, выведенными с биржи WEX.

Фото: Jarretera

Источник: ttrcoin.com

No votes yet.
Please wait…

СМОТРИТЕ ТАКЖЕ

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.