Исследование: похищенные средства с Bithumb перевели на Yobit

Криптовалютная биржа Bithumb в результате взлома потеряла $31 млн, в том числе 2 016 BTC. А большая часть похищенных средств позднее поступила на биржу Yobit, свидетельствуют результаты исследования компании Bitfury.

Bithumb временно приостановила прием депозитов пользователей 15 июня для обновления систем безопасности и обновления базы данных, а 20 июня руководство биржи сообщило о потере $31 млн.

Аналитики решили изучить события, которые происходили на бирже за 4 дня до взлома. Они просмотрели свыше 1 млн адресов, принадлежащих Bithumb, и составили список всех адресов, на которые переводились средства в течение этих четырех дней.

До 19 июня перемещение средств происходило по следующей схеме:

– Большая часть биткоинов была собрана на адресе 1LhWMukxP6QGhW6TMEZRcqEUW2bFMA4Rwx(далее “1LhW”);

– С адреса 1LhW транзакции крупного объема переводились на адрес 18x5Wo3FLQN4t1DLZgV2MoAMWXmCYL9b7M (далее “18x5”).

Адрес 18x5 аналитики признали холодным кошельком биржи, поскольку он используется для редкой отправки крупных транзакций с/на адреса Bithumb.

Паттерн перемещения средств изменился 19 июня, когда с кошельков Bithumb было отправлено две транзакции на адреса 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD и 3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny с необычайно высокой комиссией в 0,1 BTC. После этого в течение получаса около 1 050 BTC было переведено на адреса, которые ранее в блокчейне не фигурировали. В общей сложности перевод средств на эти адреса продолжался дольше суток.

На этом этапе биржа перестала использовать буферный адрес 1LhW. Кроме того, размер комиссий для входящих транзакций на адрес 18x5 существенно возрос – сначала до 0,1 BTC, затем – до 0,2 BTC.

Вскоре после этого в официальном Twitter-аккаунте биржи появилось сообщение о том, что пользователям не следует осуществлять депозиты на адреса биржи.

Вывод средств с кошельков биржи с высокими комиссиями продолжился, иногда комиссии превышали 2 BTC и сумму переводящихся в транзакциях средств. Из-за этого 19-20 июня комиссии возросли во всей сети биткоина, что в свою очередь привело к затормаживанию обработки транзакций.

Таким образом со всех кошельков Bithumb биткоины перекочевали на 39 адресов. Одним из них является собственный кошелек биржи 18x5, который принял больше всего средств. Остальные 38 адресов, предположительно, принадлежат злоумышленникам. Они приняли 2002,52 BTC, уплатив при этом 48,126 BTC в качестве комиссий.

Далее аналитики проследили перемещение средств с этих адресов, которое началось 2 августа. Сначала была отправлена крупная транзакция на 1 000 BTC. Согласно результатам анализа Bitfury, в конечном счет эти средства оказались на двух кошельках биржи Yobit, после того как были разбиты на части по 30 BTC.

Адресу 1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1 соответствует пик на изображении выше; он принадлежит бирже Yobit и получил 603 BTC. Еще один адрес Yobit – 13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT – получил 396 BTC через такую же цепочку транзакций.

Оставшиеся средства отправлялись на Yobit напрямую:

– 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr — 100 BTC

– 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp — 100 BTC

– 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK — 344 BTC

– 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b — 433 BTC

После этих перемещений на оригинальных адресах предполагаемого хакера оставалось 29 BTC. Они начали перемещаться 31 августа и транзакциями по 2 BTC передавались сервису CoinGaming.io.

Таким образом, аналитики заключают, что 38 рассматриваемых адресов, вероятно, принадлежат хакеру, а большая часть похищенных средств впоследствии попала на биржу Yobit.