Предыстория инцидента
20 августа 2024 года в результате фишинговой транзакции было похищено более 54 млн стейблкоинов DAI. Опустошенный адрес является хранилищем (vault), профинансированным через Gemini, а связанный с ним адрес «Maker Vault Owner» — 0xf2b8. Фишер заставил жертву (изначального владельца хранилища) подписать транзакцию о смене владельца хранилища на адрес, контролируемый мошенником, а затем выполнил транзакцию по выводу средств из хранилища.
- Фишинговый адрес: 0x0000db5c8b030ae20308ac975898e09741e70000
- Адрес, с которого выводились средства: 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
- Транзакции по смене владельца: 0x2805, 0xb721
- Транзакция вывода средств: 0xf700
Анализ движения средств
20 августа 2024 года изначальный владелец целевого хранилища был обманом вынужден подписать транзакцию, сменившую владельца хранилища на адрес, контролируемый фишером. Примерно через пять часов фишер отправил транзакцию для дальнейшей смены владельца на новый адрес. Через 20 минут после того, как новый адрес получил полный контроль над хранилищем, он подписал транзакцию, в результате которой из хранилища было выведено 55 млн DAI.
Затем в течение двух часов все незаконно полученные токены DAI были переведены на последующие адреса, контролируемые фишером, и на первоначальном адресе, выводившем средства, ничего не осталось. Всего существует шесть последующих адресов, напрямую связанных с адресом 0x5D4b (то есть находящихся в одном шаге от первоначального адреса). Большая часть токенов DAI (44 млн) была переведена непосредственно на эти адреса, а 10 млн были обменяны на нативный токен (3880) ETH и затем перемещены на адрес 0x8cc5. DEX, использованный для обмена, — CoW Protocol: GPv2Settlement. Транзакция обмена: 0x7c63.
График движения похищенных средств DAI от исходного адреса 0x5D4b к 1-шаговым конечным адресам.
После перевода незаконных средств на 1-шаговые адреса злоумышленник начал дальнейшее перемещение средств на более глубокие уровни адресов партиями. В процессе перевода фишер постепенно обменивал DAI, удерживаемые на этих адресах, на ETH. На адресах, находящихся в 4 шагах от исходного, все украденные DAI уже были конвертированы в ETH. Эти незаконные активы в форме ETH затем поступали на централизованные биржи (eXch, KuCoin, ChangeNOW) и кросс-чейн мосты (THORChain, Hop Protocol). (Нажмите на название, чтобы изучить эти адреса для обналичивания.) Примеры транзакций по внесению незаконно полученных средств на eXch: 0x2e42, 0xa982, 0x1e1e, 0xb7a9. Примеры транзакций по переводу незаконных средств на THORChain: 0x5c06, 0xf824, 0x391e.
Часть потоков средств от адресов 2-го уровня (в 2 шагах от исходного) к адресам 5-го уровня:
Среди переводов незаконных средств на глубокие уровни самый длинный путь составил 12 шагов, где около 80 тысяч долларов были переведены на биржу KuCoin 17. Как показано на приведенном ниже графе, в период с 21 по 22 августа 2024 года злоумышленник постепенно перевел 38 ETH на централизованную биржу по 12-шаговому пути.
Чтобы избежать излишнего внимания к крупным суммам переводов, преступники стремятся распределять большие средства по множеству адресов и использовать более мелкие переводы для перемещения активов на более глубокие адреса. Пример разделения 1,65 млн DAI на 36 мелких частей, обработанных 1-шаговым адресом 0x860c:
Некоторые соответствующие адреса и транзакции
| Адреса | Транзакции | Потоки незаконных средств |
|---|---|---|
| 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 | 0xa11e, 0x9ef1 | 1,650,000 DAI |
| 0xdd6397104d57533e507bd571ac88c4b24852bce9 | 0x7af2, 0x1d45 | 36,733,858 DAI |
| 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc | 0x7e10, 0x5d08 | 3879 ETH + 1,825,000 DAI |
| 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH |
| 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e | 0xf97a, 0xbc5c | 2164 ETH |
Обзор движения средств:
Подробности можно изучить в MetaSleuth: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595
