1 апреля 2024 года сервис FixedFloat* подвергся взлому. По информации из новостных источников, было похищено как минимум $2.8 млн в криптовалюте.
*FixedFloat — это DEX сервис, предназначенный для обмена криптовалют и токенов, запущенный в 2018 году. Сервис автоматизирован и не является кастодиальным, что позволяет совершать обмен сразу после получения криптовалюты и необходимого количества подтверждений сети.
На своем официальном канале Х (twitter), компания сообщила о взломе и краже средств, подчеркнув, что средства пользователей не пострадали:
«1 апреля на нас снова напали злоумышленники, стоящие за взломом 16 февраля. На этом злоумышленники не остановились и продолжили использовать различные методы, чтобы снова попытаться взломать наш сервис.
***
Хотим подчеркнуть, что финансовые потери коснулись только средств для обеспечения ликвидности сервиса, то есть средства компании и средства пользователей не пострадали.
***
В настоящее время мы находимся в процессе активного расследования. Подробности инцидента пока не разглашаются в связи с продолжающимся расследованием.»
На данный момент, компания не предоставляет информацию о деталях взлома. Также нет информации о попытках связаться со злоумышленником для возврата украденных средств. КоинКит провел собственное расследование, и решил поделится результатами.
Все выводы средств производились злоумышленниками в eth, USDC, USDT по сети ethereum. С адреса пострадавшего (0x4e5b2e1dc63f6b91cb6cd759936495434c7e972f), принадлежащего сервису FixedFloat криптовалюта ушла на адрес злоумышленника (0xfa0200a7b73f2b36d14815336483039ecc6dea8b).
В ETH злоумышленник вывел активы пятью транзакциями:
Рис.1 – Визуализация. Движение средств в ETH, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.
В данном случае злоумышленник с адреса FixedFloat получил пять транзакций, общей суммой 129.815318 ETH (≈ $386 355,05). После этого перевел криптовалюту на последующие два адреса, возможно связанные с ним. Далее был произведен вывод на адрес обменного сервиса eXch.
В USDC криптовалюта передвигалась следующим образом:
Рис.2 – Визуализация. Движение средств в USDC, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.
В USDC было произведено девять транзакций на адрес злоумышленника. Откуда далее активы были выведены на адрес обменного сервиса eXch и DEX платформы. Среди получателей DEX платформ мы обнаружили контракты 1inch и Curvefi.
Рис.3 – Визуализация. Часть транзакций с движением средств в USDT, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.
Передвижение в USDT:
Было совершено 30 транзакций в USDT на адрес, принадлежащий злоумышленнику. Общая сумма выводов составляет ≈1 387 508,56 USDT. Откуда далее полученная сумма была разделена между адресами DEX платформ и смарт-контрактами, владельцы которых неизвестны.
Итоги и выводы
В данном случае для отмывания незаконно полученных средств злоумышленник использовал обменные сервисы, DEX платформы или пересылал активы на адреса смарт-контрактов, откуда становится сложнее отследить дальнейшее перемещение активов.
В наше время, когда кибератаки нередкое явление, обеспечение безопасности информации внутри сети является необходимостью для защиты цифровых активов и личных данных. На сегодняшний день, компания не сообщает причины инцидента и проводит внутреннее расследование. Сайт FixedFloat в течение месяца был недоступен в связи с проведением технических работ после инцидента, сейчас (08.05.2024) работает стабильно.
Сообщение от представителей компании в их аккаунте социальной сети X (бывший Twitter, признан экстремисткой организацией в РФ):
«Мы понимаем, что недоступность нашего сервиса в течение столь длительного времени вызывает вопросы и опасения, но наши специалисты и разработчики продолжают усердно работать и восстанавливать наш сервис после взлома. Мы приносим извинения нашим клиентам за любые неудобства, которые это может вызвать, и еще раз повторяем, что все заказы и возвраты будут выполнены, как только услуга снова заработает.»
DEX платформы нередко используются для отмывания незаконно полученных активов, а решение этой проблемы является сложной задачей. Во избежание подобных ситуаций, при отправке криптовалюты необходимо проверять кошельки через специализированные AML-сервисы и не принимать криптовалюту от подозрительных источников.
В криптоиндустрии каждое действие оставляет цифровой отпечаток, поэтому движение средств при подобных атаках возможно отследить с помощью AML-сервисов, которые в кратчайшие сроки размечают такие адреса как высокорискованные. Как следствие, после разметки злоумышленникам сложнее «отмыть» и обналичить незаконно полученные активы.
Статья несет исключительно информационный характер, и предоставляет фактическую и аналитическую информацию.
Команда “КоинКит” (российская аналитическая компания)