Мошенничество на $70 млн: разбираем случай «пылевой атаки»

В статье рассказываем о недавнем случае крупного криптомошенничества и анализируем путь украденных средств.

Привет, это команда «‎ШАРД».‎ Мы предоставляем аналитические инструменты для крипторасследований и оказываем аналитическую поддержку.

«Пылью» называют крайне малые суммы криптовалюты. С ними нельзя провести никаких операций. Они могут оставаться, например, после совершенной сделки.

Суть мошеннической схемы состоит в том, что злоумышленники рассылают пыль множеству адресов. Эти средства настолько незначительны, что жертвы могут даже не заметить их. Пыль становится частью средств жертвы, и поэтому когда владелец криптовалюты начнет пересылать их куда-либо еще, например, на другой свой кошелек, мошенник может это отследить.

Общей целью такой мошеннической схемы является получение персональных данных. С помощью пыли, злоумышленники собирают информацию о пользователе, которую можно использовать для дальнейшего шантажа.

Однако в недавнем случае, который мы рассмотрим ниже, атака была совершена с другой целью.

В рассматриваемом случае «пылевой атаки» средства отсылаются жертве с адресов, практически не отличающихся от тех, которыми она обычно пользуется. Не обращая внимания на адрес, потерпевший по невнимательности копирует его и отправляет на него свои средства, рассчитывая, что они поступят на нужный адрес.

Так и случилось с пользователем, у которого таким образом украли сумму в 70 миллионов долларов. Это, вероятно, один из самых крупных случаев за всю историю такого рода атак.

Через день после кражи создателем токена Pepe был опубликован пост. В нем он рассказал, что похищенные средства принадлежали ему. Насколько данное заявление является правдивым, нам предстоит узнать, если получится заблокировать и вернуть средства, похищенные мошенниками.

Мы проанализировали путь средств, вот что получилось:

03 мая 2024 в 09:17 транзакцией 0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73 на [адрес потерпевшего] (https://shard.ru/address/0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5/eth/eth) пришла «пылевая транзакция» с адреса.

В этот же день в 10:31 транзакцией 0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570 потерпевший со своего адреса отправил мошенникам 1155,28 WBTC на вышеуказанный подменный адрес.

Средства были перемещены с фиктивного адреса на промежуточный, а затем разделены среди 8 новых адресов. Впоследствии средства были преобразованы из WBTC в ETH через биржу Uniswap. На момент написания данной статьи украденные активы были распределены по нескольким кошелькам и хранятся на 10 адресах в сети Ethereum. Данные адреса были опубликованы.

С учетом того, что частные аналитические и детективные компании широко осветили обстоятельства мошенничества, то, скорее всего, они были размещены как адреса, хранящие похищенные средства. Теперь средствам нужно какое-то время, чтобы «отлежаться», а затем их смогут вывести через миксеры или децентрализованные сервисы.

Также мы выявили, что 03 мая в 16:43 подменный адрес направлял 0,004 ETH на адрес, который, судя по частоте операций и балансу, возможно принадлежит криптосервису, связанному с криптошлюзом Alphapo.

Система мониторинга адресов сервиса безопасности цифровых валют «ШАРД» зафиксировала перемещение средств с указанных кошельков. 7 мая средства были распределены через цепочку адресов на более мелкие суммы по 100-50 ETH и хранились до 9 мая 2024 года на более чем 100 адресах.

Примечательно, что утром 9 мая злоумышленники отправили две транзакции, одна из которых содержала 51 ETH, на адрес владельца, у которого украли средства (0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5). Они предложили оставить свой Telegram для возможных переговоров о возврате похищенного.

В ответ владелец похожего адреса 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 сообщил свой аккаунт в Телеграме через текст транзакции. Скорее всего, в ходе переговоров хакеры и потерпевший пришли к определенным договоренностям. 10 мая 2024 года злоумышленники вернули потерпевшему средства на сумму 22 960 ETH, что эквивалентно 68 миллионам долларов.

В этой истории также заслуживает внимания пользователь адреса 0x882c927f0743c8aBC093F7088901457A4b520000. Он представился программистом обменного сервиса ChangeNOW и до возврата средств пять раз настойчиво направлял сообщения в транзакциях потерпевшему, предлагая разоблачить злоумышленника за вознаграждение в $100 000, так как тот проходил KYC на платформе ChangeNOW.

Когда злоумышленник вернул все средства потерпевшему, "этичный вымогатель" настойчиво предлагал связаться с ним для передачи информации властям, утверждая, что возврат средств произошел только из-за угрозы разоблачения.

Моральная сторона таких действий этих действий вызывает вопросы. С одной стороны, это действительно может помочь пострадавшему привлечь злоумышленника к ответственности и вернуть средства. С другой стороны, такие действия могут быть схожи с действиями самих хакеров, и грань здесь действительно очень тонкая.

Так как данные обо всех операциях и сообщениях в них общедоступны в блокчейн сетях, каждый может изучить их и принять собственное решение об этичности такой деятельности.

Мы продолжаем следить за ситуацией. Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на нашем сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.

А если вам понадобилось провести собственное крипторасследование, наши услуги можно изучить здесь.