На прошлой неделе криптовалютное сообщество потрясла крупномасштабная хакерская атака на Твиттер, в ходе которой мошенникам удалось обмануть пользователей платформы как минимум на 12.8 BTC.
Хакеры получили доступ к десяткам аккаунтов знаменитостей и использовали их популярность для продвижения мошеннической схемы — «бесплатной» раздачи криптовалют. С тех пор прошло несколько дней. А что случилось с украденной криптовалютой?
Технический отдел Твиттера и многие криптовалютные энтузиасты тут же занялись расследованием произошедшего.
Спустя пару дней у нас есть интересные детали о предполагаемом взломщике социальной платформы: он якобы торгует на BitMEX и использует кошелек Wasabi для запутывания своих следов.
Кто взломал Твиттер?
Изначально исследователи аналитической фирмы OXT Research проследили за перемещением отправленных на кошельки мошенника — или группы мошенников — монет. Вот цитата представителей команды.
Подтверждено отсутствие признаков перемешивания монет. Большая часть средств переслана в одну или две группы и теперь хранится на другом адресе.
Перемешивание в данном случае — это использование услуг Биткоин-миксеров, специальных платформ для запутывания цепочки транзакций. С помощью Биткоин-миксеров мошенники чаще всего запутывают свои следы, если работают с BTC.
Кстати, после взлома появилась одна интересная деталь: кто-то обратился к хакерам с зашифрованным сообщением о том, что для таких выходок лучше использовать анонимную криптовалюту Monero. Хотя судя по действиям мошенника, он мог попросту не знать об особенностях данной монеты.
16 июля часть монет была отправлена на Coibase. При этом удалось установить, что фигурировавшие во время взлома Твиттера адреса хакеров как минимум несколько раз пересылали криптовалюту на Coinbase и BitMEX — то есть еще до инцидента. Соответственно, злоумышленники могли торговать на этих биржах. На BitMEX достаточно либеральная политика подтверждения личности: там можно торговать без предоставления своих документов. Сама биржа вряд ли как-то может помочь в выслеживании хакеров.
Аналитик Ларри Чермак из The Block отметил, что объём заведенных монет на биржи был небольшим — меньше 20 долларов каждый. Бирж было как минимум четыре: Coinbase, Binance, BitPay и CoinPayments. Таким образом мошенник мог попросту протестировать реакцию руководства. И это, кстати, выдаёт в нём новичка.
Разберем первоначальную схему движения средств, показанную на скриншоте ниже. Всего в атаке фигурировали три адреса, а небольшую часть монет отправили на BitMEX и Coinbase. Остальное отправили на еще один адрес, куда раньше поступали монеты с BitMEX. Затем с этого кошелька биткоины отправились на несколько адресов Coinbase.
Схема движения средств
Спустя некоторое время стало известно, что часть украденных средств — а именно 2.89 BTC — мошенники отправили на адрес кошелька Wasabi. К такому выводу пришли эксперты аналитической компании Elliptic. Среди функций данной платформы в том числе есть возможность автоматического перемешивания транзакций для анонимизации пользователей.
Больше света на произошедшее может пролить внутреннее расследование в Твиттере. Напомним, атака была направлена против сотрудников компании, чьи права использовали для доступа к десяткам верифицированных аккаунтов платформы.
Мошенники уже полностью реструктуризировали украденные биткоины. 17.34 BTC или около 160 тысяч долларов вчера находились на 33 новых адресах. Вот их список.
The Twitter hacker has completely restructured their stolen BTC. About 17.34 BTC, the equivalent of $160,000, is now sitting in 33 newly created wallets.
— Larry Cermak (@lawmaster) July 18, 2020
Пользователи отметили, что данная операция может быть первым опытом хакера — как минимум в работе с криптовалютами.
It definitely looks like it’s his 1st ride.
— cited (@cited) July 18, 2020
Ларри Чермак согласился. По его словам, хакер выглядит аматором — то есть опыта у него немного.
Agreed. Looks like an amateur
— Larry Cermak (@lawmaster) July 18, 2020
При этом большая половина украденных биткоинов находилась всего на четырёх адресах:
Теперь на некоторых из них практически ничего не осталось, то есть мошенники продолжают заниматься своим делом.
Мы считаем, что из ситуации можно сделать несколько выводов. Во-первых, хакер явно не участвовал в криптовалютных мошенничествах раньше, в пользу чего говорят его не совсем уверенные действия. Во-вторых, представители сообщества любителей монет следят за активностью мошенников и их адресами, поэтому шансы на поимку преступников сохраняются. Наконец, в-третьих, несмотря на огромные масштабы взлома и проблемы в безопасности платформы, автор атаки воспользовался возможностью очень скромно. Есть вероятность, что его действительно интересовали исключительно чужие биткоины.
