Взлом устройств разработчиков Radiant Capital дал злоумышленникам возможность подписать транзакции на сумму $50 млн.

Анализ атаки на Radiant Capital, в которой злоумышленники похитили около $50 млн с использованием сложной схемы компрометации и отмывания средств. В статье рассмотрены ключевые этапы атаки и способы маскировки происхождения средств.

Мошенничество сегодня — серьезная угроза как для частных лиц, так и для компаний, поскольку с развитием технологий преступные схемы становятся все более изощренными. Главная защита — это собственная внимательность, осторожность и осведомленность о возможных методах мошенничества, как в данном случае.

Более эффективная стратегия в борьбе с мошенничеством заключается в том, чтобы думать как злоумышленник: понимать его мотивацию, методики и шаги. Такой подход помогает предвидеть возможные схемы, анализировать их и находить способы обезопасить себя и свои активы.

В статье встречаются термины, связанные с блокчейн-технологиями, которые можно освежить в глоссарии в конце.

16 октября 2024 года проект Radiant Capital подвергся атаке, в результате которой потеряно около 50 млн долларов США.

Хакеры скомпрометировали устройства трех ключевых разработчиков, доверенных членов DAO, используя сложное вредоносное ПО. Хотя устройства разработчиков были защищены и географически распределены, злоумышленники смогли обойти защиту и подписать несанкционированные транзакции.

Атака осталась незамеченной, так как в интерфейсе отображались корректные данные, а несанкционированные транзакции проводились скрытно. Взлом произошёл во время стандартного многоподписного обновления выпуска токенов, при этом все базовые процедуры и проверки были соблюдены. Внешние проверки от SEAL911 и Hypernative подтвердили, что компрометация была неотличима в процессе проверки.

Хакеры вывели около 50 млн долларов США с платформ на Arbitrum и BSC воспользовавшись открытыми одобрениями для вывода средств пользователей. Radiant настоятельно рекомендовал всем пользователям отозвать одобрения для смарт-контрактов на всех блокчейн-сетях.

DAO Radiant Capital сотрудничает с правоохранительными органами и компанией в сфере кибербезопасности ZeroShadow для заморозки похищенных активов и установления личности злоумышленников.

Мы решили проанализировать перемещение средств с адресов жертвы, отследив весь путь следования украденных активов и выявив подходы злоумышленников на каждом этапе. Наш инструмент Bholder позволяет визуализировать этот процесс наглядно и эффективно.

Основной целью хакеров было получить подписи для подтверждения команды через кошельки с мультиподписью. Они успешно взломали несколько устройств, на данный момент известно, что минимум три, но точное число неизвестно. Затем, демонстрируя в интерфейсе транзакции, отображающиеся как настоящие, хакеры получили доступ к криптоактивам благодаря уже поставленным подписям.

После одобрения транзакций разработчиками, взломанные устройства подменяли транзакции на вредоносные запросы и снова отправляли на аппаратные кошельки для подписи. Safe Wallet информировал об ошибке, что приводило к новым попыткам подписания, таким образом хакеры получили нужные подписи и завершили свою атаку.

Несмотря на проверки через Tenderly и другие инструменты, несанкционированные транзакции выглядели легитимными.

Со смартконтрактов, принадлежащих Radiant Capital, в результате атаки было похищено криптоактивов на следующие суммы:

После поступления этих токенов на основной кошелек злоумышленника - 0x97a05becc2e7891d07f382457cd5d57­fd242e4e8 [22], была произведена конвертация криптоактивов в два основных токена, которые использовались для дальнейшего отмывания средств.

На текущий момент в инциденте задействованы токены, охватывающие 3 блокчейн-сети: Arbitrum, Ethereum и Binance Smart Chain. Злоумышленник осуществляет перемешивание криптовалюты между блокчейн-сетями и в итоге выводит средства на два адреса в трех блокчейнах (Arbitrum, BSC и Ethereum):

Эти адреса используются для финальной обработки и хранения похищенных средств, а также для попыток замаскировать их следы в блокчейне.

В этой части статьи рассмотрим распределение похищенной криптовалюты на два блокчейн-адреса в трех блокчейн-сетях: Arbitrum, BSC и Ethereum:

Кроме поступлений, полученных после конвертации (свапов), можно наблюдать, что еще одним значимым контрагентом для этих двух блокчейн-адресов является третий блокчейн-адрес, также принадлежащий злоумышленнику. Этот факт подтверждается крупными транзакциями, направленными с этого блокчейн-адреса на оба вышеупомянутых блокчейн-адреса, задействованных в данном инциденте.

0x8b75e47976c3c500d01484639317170­01f620887 [25] (Arbitrum и Ethereum) выполняет не только функции аккумулирования похищенных токенов, но и совершает транзакцию в определенное «хранилище», куда отправлена часть украденной криптовалюты — 707.053640874178035263 ETH в сети Ethereum (что эквивалентно сумме $2,035,455.32).

Таким образом, эти блокчейн-адреса играют ключевую роль в распределении активов, аккумулируя средства и выполняя операции по дальнейшей передаче в другие хранилища или анонимные кошельки для запутывания транзакционных цепочек и сокрытия следов.

На Графе можно детально проследить транзакционную активность блокчейн-адреса 0xb7779da5386db9163be64a46a1a234­1a08dfa445 [28]. Этот блокчейн-адрес осуществил переводы на общую сумму 12,293.92 ETH в пользу 15 различных адресов, которые демонстрируют схожие паттерны в своем поведении.

Основные характеристики этих паттернов включают:

Эти данные позволяют предположить, что адреса, получившие переводы, возможно, действуют синхронно, следуя общей тактике для сокрытия следов.

Граф демонстрирует аналогичное поведение блокчейн-адреса 0x62dc783c63be0ea579fdb0922d25f153­55d89041 [29]. Этот блокчейн-адрес осуществил переводы на 31 контрагента в сети Binance Smart Chain на общую сумму 32,779.17 BNB. Подобно блокчейн-адресу 0xb7779da5386db9163be64a46a1a2341­a08dfa445 [28], описанному выше, данный блокчейн-адрес также проявляет схожие признаки:

Эти параллели между блокчейн-адресами в разных блокчейн-сетях указывают на систематический подход злоумышленников, стремящихся создать структуру транзакций, усложняющую отслеживание их действий и помогающую запутать движение криптовалюты.

В данной части статьи мы рассмотрим взаимодействие с бриджами, которые играют ключевую роль в перемещении криптоактивов между блокчейн-сетями. В контексте криптовалют, бридж — это инструмент, позволяющий переводить цифровые активы из одной блокчейн-сети в другую, сохраняя их стоимость и функции.

Каждый адрес, представленный на графе и получивший криптовалюту от 0xb7779da5386db9163be64a46a1a2341­a08dfa445 [28], использовал бриджи для перевода активов из сети Arbitrum в сеть Ethereum с целью затруднить отслеживание их преступного происхождения. Для этих операций применялись такие бриджи, как Hop, Stargate и Synapse. Характерной чертой данной группы адресов является то, что их получатели, после использования бриджа, аккумулировали средства уже в новой сети (Ethereum), что усложняет анализ первоначального источника средств.

Основные моменты, выделяющие эти адреса, включают:

На данный момент криптовалютные активы в сети Ethereum сосредоточены на адресах:

0x44e1fd07928777212578e5ca03004b9­9e0dda01e [90]

0x803536aad020da0a27b36aa2a847867­070276045 [91]

0x4afbd65e78bf55cf95b6d4699f0edfe4c­d180b6f [92]

0x491c24a82c0b042cf34bfa59e340aff5f­98b44b1 [93]

0xdecf6c2ee70d2b96f55073331347bdf6f­8d25668 [94]

0x5b9aa4832af1d559ee29053403e9b94­e242b534c [95].

Эти адреса, вероятно, будут использоваться для дальнейшего перемещения средств с целью усложнить процесс отслеживания транзакций и запутать их структуру.

Действия, направленные на «очистку» средств, нередко включают взаимодействие с несколькими сетями и использование промежуточных адресов для снижения вероятности отслеживания.

В сети Binance Smart Chain (BSC) злоумышленник использует модель действий, несколько отличающуюся от схемы в блокчейн-сети Arbitrum, где криптовалюта отправлялась через мост в другую сеть на новые блокчейн-адреса. В данном случае, используя адрес 0x62dc783c63be0ea579fdb0922d25f153­55d89041 [29], он распределял криптоактивы по нескольким адресам и затем отправлял их на различные сервисы такие как DODO, Stargate, 0x, DLN и Kyber. После смены сети злоумышленник получал их на исходные адреса и отправлял на новые. Для удобства анализа и визуализации графа все эти сервисы объединены в одну узловую точку - [80].

В ходе отмывания средств злоумышленник неоднократно переводил активы на различные сервисы и получал их обратно на исходные адреса, после чего консолидировал общий поток средств, включая криптовалюту из других источников, на пяти адресах:

0x589e8b991c2afd2d8d4def8f7f0cbf670­73a9b19 [85],

0x759f1ad55a044f22c96b32c5a359cfa5­2e34c98f [86],

0x9beeecc34fad6367c991fd6b701fdc47­7e54ce34 [87],

0xcd69d20b41fddbf1c37e51a59062836­7a742d50f [88],

0xecae977e56c2480dcae69f7149dc4b1­3d452b7cf [89].

В настоящий момент криптоактивы остаются на этих адресах для дальнейшего использования.

Подводя итоги текущего этапа расследования преступной схемы злоумышленника, можно отметить, что процесс хищения и отмывания средств в данном инциденте характеризуется повышенной степенью сложности и разнобразностью инструментов, что говорит о высоком уровне технических навыков у хакера, стоявшего за этим преступлением.

Злоумышленник многократно использовал мосты и свапы, разделяя общий поток средств на множество адресов и затем вновь объединяя их в определенных узловых точках. Это делалось для того, чтобы в дальнейшем снова распределить активы по множеству блокчейн-адресов и сервисов, что затрудняет отслеживание их движения.

Конечной точкой для возможного обналичивания средств может стать криптовалютная биржа, которая, выявив изначальное происхождение активов, вероятно, заблокирует попытки вывода и в сотрудничестве с правоохранительными органами сможет помочь в установлении личности злоумышленника или злоумышленников и придании огласке их действий.

Мы продолжим мониторинг деятельности злоумышленника и будем информировать о его последующих действиях и предпринимаемых шагах в рамках этого дела.

Перед началом работы с блокчейн-платформами и инвестированием в криптовалюту рекомендуется изучить базовые концепции: принципы проведения транзакций, виды кошельков, методы обеспечения безопасности и способы защиты от мошеннических схем. Сфера криптовалюты динамично развивается, и владение актуальной информацией о новых инструментах и тенденциях поможет минимизировать риски.

В нашем блоге вы найдете материалы и руководства, освещающие ключевые аспекты криптовалют и блокчейна, которые помогут даже начинающим уверенно ориентироваться в этой сфере.

Для профессиональной поддержки наша команда экспертов готова проконсультировать по вопросам основ криптографии, анализа сложных операций и особенностей инвестирования, безопасного хранения и регулирования активов. Мы подберем оптимальные решения, соответствующие вашим задачам и потребностям.

Если вы столкнулись с криптомошенничеством, обратитесь к нам через Telegram или по электронной почте. Мы проведем анализ ситуации и предложим возможные шаги для возврата активов или сокращения убытков.

Блокчейн – это технология, представляющая собою цепочку связанных блоков. Каждый из блоков является хранителем определенной информации и имеет в своем составе ссылку на предыдущий блок.

Cеть блокчейна – это особая экосистема позволяющая пользователям не только совершать действия с криптовалютой, но и создавать, а также использовать сторонние приложения, предлагать различные услуги, создавать токены.

DeFi-протокол – это система, состоящая из специальных программ – смарт-контрактов, работающая на блокчейне и осуществляющая такие операции как обмен криптовалют, кредиты, депозиты без участия банков и иных посредников.

Хакерская атака – это деятельность злоумышленника, направленная на кражу данных или нарушение работы компьютера и программ путем несанкционированного доступа к компьютеру.

Токен – это цифровой актив в блокчейне, используя который можно совершать такие операции как покупка товаров, обмен и инвестиции.

Смарт-контракт – это программа, автоматически выполняющая определенные действия, при соблюдении специальных условий.

Прокси-контракт – это особый смарт-контракт, выполняющий функции посредника между человеком и другим смарт-контрактом.

Вредоносное ПО – это программа, которая создавалась для нанесения вреда компьютеру посредством кражи данных или нарушения его работы.

Свап токенов – это процесс обмена одной криптовалюты на другую при помощи децентрализованных сервисов, работающих на смарт-контрактах.

Мост – это технология, позволяющая переместить токены одной блокчейн-сети в токены второй блокчейн-сети.

SOP – это стандартная операционная процедура, представляющая собой пошаговое руководство или инструкцию, определяющую порядок выполнения конкретных задач и действий для сотрудников компании или организации. SOP предназначены для унификации и стандартизации процессов, чтобы обеспечить их выполнение в соответствии с установленными нормами и требованиями, что особенно важно в компаниях с высокими стандартами качества или строгими требованиями к безопасности.

Safe Wallet — это криптовалютный кошелек, предназначенный для безопасного хранения, управления и использования цифровых активов, таких как криптовалюты и токены. Существует несколько известных решений, которые часто называют "Safe Wallet," и вот некоторые из них:

Tenderly — это платформа для разработки, мониторинга и отладки смарт-контрактов, предназначенная для разработчиков на блокчейне Ethereum и других совместимых сетях. Tenderly упрощает процесс создания, тестирования и мониторинга смарт-контрактов, предоставляя разработчикам мощные инструменты для работы на всех этапах их жизненного цикла.

Аппаратный кошелек — это физическое устройство, предназначенное для безопасного хранения криптовалюты. Он хранит приватные ключи в офлайн-режиме (без подключения к интернету), что значительно снижает риск взлома или несанкционированного доступа. Аппаратные кошельки используются для долгосрочного хранения криптоактивов и защиты от кибератак, так как они изолированы от потенциальных угроз, характерных для устройств, подключенных к сети.