Взлом FixedFloat и кража на сотни тысяч долларов

1 апреля 2024 года сервис FixedFloat* подвергся взлому. По информации из новостных источников, было похищено как минимум $2.8 млн в криптовалюте.

Взлом FixedFloat и кража на сотни тысяч долларов

*FixedFloat — это сервис, предназначенный для обмена криптовалют и токенов, запущенный в 2018 году. Сервис автоматизирован и не является кастодиальным, что позволяет совершать обмен сразу после получения криптовалюты и необходимого количества подтверждений сети.

На своем официальном канале Х (), компания сообщила о взломе и краже средств, подчеркнув, что средства пользователей не пострадали:

«1 апреля на нас снова напали злоумышленники, стоящие за взломом 16 февраля. На этом злоумышленники не остановились и продолжили использовать различные методы, чтобы снова попытаться взломать наш сервис.
***
Хотим подчеркнуть, что финансовые потери коснулись только средств для обеспечения ликвидности сервиса, то есть средства компании и средства пользователей не пострадали.
***
В настоящее время мы находимся в процессе активного расследования. Подробности инцидента пока не разглашаются в связи с продолжающимся расследованием.»‎

На данный момент, компания не предоставляет информацию о деталях взлома. Также нет информации о попытках связаться со злоумышленником для возврата украденных средств. КоинКит провел собственное расследование, и решил поделится результатами.

Все выводы средств производились злоумышленниками в ETH, , USDT по сети Ethereum. С адреса пострадавшего (0x4e5b2e1dc63f6b91cb6cd759936495434c7e972f), принадлежащего сервису FixedFloat криптовалюта ушла на адрес злоумышленника (0xfa0200a7b73f2b36d14815336483039ecc6dea8b).

В ETH злоумышленник вывел активы пятью транзакциями:

Рис.1 – Визуализация. Движение средств в ETH, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.

В данном случае злоумышленник с адреса FixedFloat получил пять транзакций, общей суммой 129.815318 ETH (≈ $386 355,05). После этого перевел криптовалюту на последующие два адреса, возможно связанные с ним. Далее был произведен вывод на адрес обменного сервиса eXch.

В USDC криптовалюта передвигалась следующим образом:

Рис.2 – Визуализация. Движение средств в USDC, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.

В USDC было произведено девять транзакций на адрес злоумышленника. Откуда далее активы были выведены на адрес обменного сервиса eXch и DEX платформы. Среди получателей DEX платформ мы обнаружили контракты 1inch и Curvefi.

Рис.3 – Визуализация. Часть транзакций с движением средств в USDT, через адрес 0xfa0200a7b73f2b36d14815336483039ecc6dea8b, принадлежащий злоумышленнику.

Передвижение в USDT:

Было совершено 30 транзакций в USDT на адрес, принадлежащий злоумышленнику. Общая сумма выводов составляет ≈1 387 508,56 USDT. Откуда далее полученная сумма была разделена между адресами DEX платформ и смарт-контрактами, владельцы которых неизвестны.

Итоги и выводы

В данном случае для отмывания нено полученных средств злоумышленник использовал обменные сервисы, DEX платформы или пересылал активы на адреса смарт-контрактов, откуда становится сложнее отследить дальнейшее перемещение активов.

В наше время, когда кибератаки нередкое явление, обеспечение безопасности информации внутри сети является необходимостью для защиты цифровых активов и личных данных. На сегодняшний день, компания не сообщает причины инцидента и проводит внутреннее расследование. Сайт FixedFloat в течение месяца был недоступен в связи с проведением технических работ после инцидента, сейчас (08.05.2024) работает стабильно.

Сообщение от представителей компании в их аккаунте социальной сети X (бывший Twitter, признан экстремисткой организацией в РФ):

«Мы понимаем, что недоступность нашего сервиса в течение столь длительного времени вызывает вопросы и опасения, но наши специалисты и разработчики продолжают усердно работать и восстанавливать наш сервис после взлома. Мы приносим извинения нашим клиентам за любые неудобства, которые это может вызвать, и еще раз повторяем, что все заказы и возвраты будут выполнены, как только услуга снова заработает.»‎

DEX платформы нередко используются для отмывания незаконно полученных активов, а решение этой проблемы является сложной задачей. Во избежание подобных ситуаций, при отправке криптовалюты необходимо проверять кошельки через специализированные -сервисы и не принимать криптовалюту от подозрительных источников.

В криптоиндустрии каждое действие оставляет цифровой отпечаток, поэтому движение средств при подобных атаках возможно отследить с помощью AML-сервисов, которые в кратчайшие сроки размечают такие адреса как высокорискованные. Как следствие, после разметки злоумышленникам сложнее «отмыть» и обналичить незаконно полученные активы.

Статья несет исключительно информационный характер, и предоставляет фактическую и аналитическую информацию.

Команда “КоинКит” (российская аналитическая компания)