DarkSide, биткоин и "взломы"

На "хабре" нашёл статью с кошельками и транзакциями, поиграл в сыщика, кстати не чего сложного! Но, у меня после поисков появилось сомнение ....
Впрочем почитайте сначала статью.
 

В этом отчете Bitfury делится анализом движения биткойнов с биржи Zaif, биржи Bithumb и кошельков Electrum, выполненной ее командой инженеров Crystal Blockchain Analytics.


 

Расследование взлома Zaif Exchange

17 сентября 2018 года биржа Zaif приостановила ввод и вывод средств в BTC, BCH и MONA. 18 сентября биржа сообщила в полицию, что она была взломана и деньги были украдены. В  своем объявлении они поделились следующей информацией:
 

Кто-то получил несанкционированный доступ к бирже 14 сентября 2018 года с 17:00 до 19:00 по местному времени (с 8:00 до 10:00 по всемирному координированному времени). Они успешно перевели 5966 биткойнов (BTC) и неизвестные суммы BCH и MONA. Зайф был предупрежден об этом несанкционированном доступе, когда 17 сентября была обнаружена неисправность сервера.

Исследования Crystal Analytics

Команда инженеров Bitfury Blockchain Analytics исследовала этот взлом, сосредоточив особое внимание на перемещении украденных биткойнов. Краткое изложение нашего расследования можно найти ниже.

Шаг 1. Определите адреса хакеров . Поскольку Зайф сообщил точное время несанкционированного доступа, мы смогли определить, какие транзакции принадлежат хакеру. Мы исследовали самые крупные транзакции, которые произошли между 7:00 и 11:00 по всемирному координированному времени. Вскоре мы обнаружили подозрительную транзакцию. Идентификатор транзакции -  c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280 .

Эта транзакция имеет 131 вход. Используя программу идентификации Crystal, мы смогли определить, что все входные адреса были адресами Zaif. Выходной адрес:  1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w.. Все биткойны были отправлены на этот адрес.


Выявление подозрительной транзакции от Заифа к хакеру.

Шаг 2: Отследите украденные средства . После определения биткойн-адреса, на который был отправлен украденный биткойн, мы начали мониторинг этого адреса. Нашей целью было найти адреса или известных лиц, которые получили украденные биткойны с этого адреса. Мы сделали это с помощью инструмента отслеживания Crystal.

По адресу  1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w  было 9 исходящих транзакций, и мы отслеживали каждую из них. После отслеживания этих транзакций мы обнаружили, что 5 109 адресов получили часть украденных средств.

Затем мы отсортировали результаты отслеживания по рассчитанной сумме и нашли адреса, контролирующие наиболее значительную часть средств. В некоторых случаях нам удавалось отнести эти адреса к реальным объектам.


Перевод средств с кошельков Zaif на хакер

Результаты: Результаты отслеживания показали, что значительная часть средств (30% от общей суммы) была размещена на двух биткойн-адресах:
 

1. 3MyE8PRRitpLxy54chtf9pdpjf5NZgTfbZ  —1007,6 BTC рассчитано на адрес.
2. 3EGDAa9rRNhxnhRzpyRmawYtcYg1jP8qb7 - 754,5 BTC рассчитано на адрес.

На эти адреса биткойны поступали в рамках очень короткой цепочки транзакций (средняя длина составляла 3 транзакции). Раньше они не появлялись на блокчейне, поэтому владелец неизвестен. Вероятно, эти адреса принадлежат хакеру, поэтому мы будем отслеживать их активность в будущем.

Значительная часть биткойнов (1451,7 BTC или 24%) была отправлена ​​на Binance в рамках набора небольших транзакций на адрес Binance 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s. Binance подтвердил, что они владеют этим адресом в своей официальной учетной записи Twitter. Binance позволяет пользователям снимать до 2 BTC без прохождения строгого процесса KYC / AML, поэтому средняя сумма, отправляемая на каждый адрес депозита Binance, составляла 1,99–2 BTC.


Шаблон депозитов Binance


Визуализация денежного потока на адрес Binance

Фракции биткойнов также были отправлены на ChipMixer.com. Услуга микширования была достигнута за довольно короткую цепочку транзакций. На ChipMixer.com было отправлено около 60 BTC. Вы можете увидеть транзакцию на ChipMixer.com на рисунке ниже.


Визуализация денежного потока на ChipMixer.com

Оставшиеся биткойны были разделены на относительно небольшие суммы. На различные адреса Huobi отправлено около 13 BTC. Некоторые из биткойнов достигли таких бирж, как BTCBox.com, Bitstamp и Livecoin. Некоторые части биткойнов были отправлены в службы смешивания / азартных игр, такие как CoinGaming.io и Bitcoin Fog. Однако до этих лиц была достигнута довольно длинная цепочка транзакций.

Остальные средства осели на адреса с неизвестными владельцами, и мы продолжим их мониторинг в будущем.
 

Расследование взлома Bithumb Exchange

В среду, 20 июня, официальные лица Bithumb заявили, что неизвестные хакеры украли около 31 миллиона долларов с корейской криптобиржи Bithumb. За четыре дня до взлома биржа  объявила,  что переводит все активы в холодный кошелек из соображений безопасности.

Вывод средств пользователями временно приостановлен с 15 июня 2018 г. в 18:20 UTC. Мы решили отслеживать движение средств за четыре дня до взлома.

Мы начали с изучения более 1 миллиона адресов, принадлежащих Bithumb, и составили список всех адресов, на которые были получены средства в течение этих четырех дней. Проверялись только сделки, совершенные с 15 по 20 июня.


Денежные переводы на холодный кошелек Bithumb

До 19 июня движение денежных средств имело две основные закономерности:
 

1. Многие из переведенных средств были собраны по этому адресу: 1LhWMukxP6QGhW6TMEZRcqEUW2bFMA4Rwx (далее адрес «1LhW»).
2. С адреса 1LhW транзакции большого объема отправлялись на адрес 18x5Wo3FLQN4t1DLZgV2MoAMWXmCYL9b7M (далее адрес « 18x5 »).

18x5  адрес холодный кошелек биржи. Об этом свидетельствует его история транзакций (редкие транзакции больших объемов с / на адреса биржи Bithumb).


История баланса адреса «18x5»

. Схема движения средств изменилась 19 июня 2018 года в 15:07 UTC. В это время были инициированы две транзакции с кошельков Bithumb на адреса:
 

• 34muFC1sWsvJ5dzWCotNH4rpKSNfkSCYvD
• и  3DjdVF83hhXKXV8nUFWCF5chrdSAkgE6Ny ...

... с аномально высокими комиссиями в 0,1 BTC. После этого момента было полчаса, в течение которого было снято около 1050 BTC и депонировано на адреса, которые ранее не появлялись в блокчейне. Вывод средств на эти адреса (38 адресов) длился более суток.

После этого обмен прекращается с использованием адреса буфера  1LhW . Кроме того, после 19 июня 2018 года в 17:01 по всемирному координированному времени размер комиссии за входящие транзакции для адреса  18x5  резко изменился - сначала до 0,1 BTC, а затем до 0,2 BTC.

Вскоре после этого изменения  в официальной учетной записи Exchange в Twitter появилось сообщение , предупреждающее пользователей не вносить средства.

Высокие комиссии за вывод средств с биржевых адресов сохранялись в течение всего дня, иногда достигая 2 BTC, что превышает объем вывода.
 

Транзакция с аномально высокой комиссией

Такое поведение спровоцировало рост комиссий за транзакцию и перегрузку биткойн-сети 19–20 июня.

Все средства, снятые с кошельков Bithumb за период с 16 по 20 июня, поступили на 39 кошельков (мы исключили из результатов расчета несколько десятков сменных адресов с небольшими суммами).

Один из этих 39 адресов является холодным кошельком биржи ( 18x5 ), на который поступила большая часть средств. У остальных 38 адресов владельцы неизвестны. На эти адреса в течение дня с 19 по 20 июня было получено 2002,52 BTC. (Комиссия за транзакцию составляет 48,126 BTC).

Основываясь на информации, представленной выше, мы профессионально считаем, что есть два возможных варианта:
 

1. Набор из 38 адресов, на которые были выведены средства, принадлежит хакерам. Преступники, имея доступ к системе или базе данных с закрытыми ключами, начали осуществлять переводы на свои адреса начиная с 19 июня 2018 года в 15:07 UTC. Высокие комиссии (0,1 BTC) в данном случае логичны, если вы хотите максимально быстро вывести как можно больше.
   
   Через некоторое время биржа заметила кражу и начала повышать комиссию за транзакцию при переводе на холодный кошелек (иногда намного выше, чем у транзакций хакеров). К исходу дня 20 июня бирже удалось решить проблемы безопасности. Потери в биткойнах составили, по заявлению Bithumb, 2016 BTC. Это число очень близко к вычисленной нами сумме (полученной по группе неизвестных адресов), 2002,52 BTC, что также указывает на то, что этот вариант вероятен.
2. Все рассмотренные нами адреса принадлежат бирже. Другой возможный вариант - кража могла произойти с кошельков, которых нет в нашей базе данных. Учитывая, что Bithumb сотрудничает с правоохранительными органами в расследовании этого дела, а также тот факт, что они недавно прошли процедуру лицензирования, вероятность того, что биржа предоставила ложную информацию, маловероятна.

Отслеживание средств

Эти адреса подверглись дальнейшему мониторингу, и 2 августа начался вывод средств. Сначала была крупная транзакция на 1000 BTC. Мы запустили отслеживание этой транзакции, и по ее результатам деньги были отправлены на два адреса, принадлежащих бирже Yobit, в рамках транзакций примерно на 30 BTC. Визуализацию денежного потока можно увидеть на рисунке ниже.


Движение средств на адрес Yobit.

По адресу  1JwpFNKhBMHytJZtJCe7NhZ8CCZNs69NJ1  в верхней части графика, который принадлежит Yobit, было получено 603 BTC. Другой адрес Yobit,  13jHABthiyHHtviHe9ZxjtK8KcEANzhjBT , получил 396 BTC через ту же цепочку транзакций.

Остальные средства были отправлены напрямую на адреса Yobit. Ниже вы можете увидеть список его адресов и полученных сумм:
 

• 1DBRZgDZYnmLWLUpLMgBo1P12v9TnCL8qr - 100 BTC
• 13rgFLyKYQduTwhJkkD83WDLVNMXs4fwPp - 100 BTC
• 1A6wuQGYPbEEb9cy76tdSQHmm5fi5wvzHK - 344 BTC
• 1JquU8Hp6nAhom5c3UDBa9QM5iv1W2Wf2b - 433 BTC

После вывода на Yobit на 3 адресах осталось 29 BTC, возможно, принадлежащих хакеру. Они начали движение 31 августа. Средства были разделены на части - примерно по два BTC каждая - и отправлены на CoinGaming.io. Визуализация денежного потока представлена ​​на рисунке ниже:


Денежный поток на CoinGaming.io

В результате CoinGaming.io получила 29 BTC из украденных средств.

Учитывая схемы движения средств, мы предполагаем, что идентифицированные нами 38 адресов принадлежат хакеру. Большая часть украденных средств была отправлена ​​на биржу Yobit.
 

Расследование дела о краже Electrum

27 декабря 2018 года биткойн-кошелек Electrum уведомил пользователей о фишинг-атаке, нацеленной на пользователей через вредоносные серверы. На тот момент предполагаемый хакер (хакеры) уже украл более 245 BTC.

Используя аналитику Crystal, мы исследовали движение средств от взлома, отслеживая их на двух основных биржах. Ниже мы представляем эти результаты.

Фишинговая атака работала следующим образом:
 

1. Во-первых, предполагаемому хакеру удалось добавить в сеть Electrum десятки вредоносных серверов.
2. Пользователь инициирует транзакцию с биткойнами, используя свой законный кошелек;
3. В ответ пользователь получает push-сообщение об ошибке - фишинговое сообщение, требующее от пользователя немедленно загрузить «обновление» с вредоносного сайта (репозиторий GitHub);
4. Пользователь нажимает на ссылку и загружает вредоносное обновление;
5. После того, как пользователь устанавливает вредоносную версию кошелька, программа запрашивает у жертвы код двухфакторной аутентификации (который в обычных условиях запрашивается только для перевода средств);
6. Поддельный кошелек Electrum использует код для отправки средств пользователя на кошельки хакеров.
7. Выводы Crystal показали, что большая часть средств была отправлена ​​на адрес: 14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 .

Через несколько часов предполагаемый хакер перевел все средства на адрес 1MkM9Q6xo5AHZkLv2sTGLYb3zVreE6wBkj , по которому они были размещены. По состоянию на 11 января 2019 года в 1MkM9Q6xo5AHZkLv2sTGLYb3zVreE6wBkj оставалось 245 BTC . Однако важно отметить, что 27 декабря предполагаемый хакер отправил 5 BTC на адрес 1N1Q7fEF6yxnYsMjvH2jtDDzzW6ndLtfEE .

За несколько дней, прошедших после первого взлома, предполагаемый хакер перевел эти средства, сняв 0,2 BTC 3 января на кошелек Bitfinex ( 3Kk8aWoGexBo52bY8TJuMseoxKBnGD5QqH ) и сняв 0,41 BTC 11 января на кошелек Binance ( 13cRSMCL82eda9x2M ).



18 января предполагаемый хакер снова стал активным, переводя средства через цепочку транзакций. Теперь они вывели 3 BTC на кошелек Bitfinex ( 33d8Dm2hyJx6NHhHep7KM4QKbjTgWpAQQt ).

Более того, предполагаемый хакер перевел 49 BTC с кошелька 1MkM9Q6xo5AHZkLv2sTGLYb3zVreE6wBkj и распространил их по 13 адресам.



25 января 2019 г. предполагаемый хакер снял средства в биткойнах со всех своих кошельков. Дальнейшее расследование показало, что предполагаемый хакер перевел значительную часть биткойнов в обменный сервис MorphToken. Все средства, поступившие на Bitfinex, были отправлены сервисом MorphToken.

MorphToken предоставляет возможность проверять статус транзакции с помощью своего API. Проверив таким образом все кошельки в цепочках вывода хакеров, нам удалось выяснить, что предполагаемый хакер отправил этому сервису не менее 243 BTC. Практически все средства были обменены на XMR. Однако небольшая сумма (0,07 BTC) была переведена в Ethereum.