Блокчейн анализатори продължават да разкриват детайли около кражба на най-малко 282 млн. долара в криптоактиви, извършена на 10 януари, след успешна социално-инженерна атака, насочена към потребител на хардуерен портфейл.

Случаят бе първоначално оповестен на 16 януари от известния блокчейн разследващ анализатор ZachXBT, който посочи, че неизвестна жертва е загубила огромната сума около 23:00 ч. UTC.

Пране на средствата: от BTC и LTC до Tornado Cash

Екипът на CertiK, специализиран в криптосигурността, съобщи, че е засекъл депозити в Tornado Cash, които могат да бъдат пряко свързани с кражбата.

Според анализа им:

• 63 млн. долара от откраднатите средства са преминали през ThorSwap – децентрализирана борса, работеща върху THORChain;

• откраднатите bitcoin (BTC) и litecoin (LTC) са били конвертирани в ethereum (ETH);

• след това средствата са продължили по класическа схема за пране и са били насочени към Tornado Cash, крипто миксер, известен с трудната проследимост на транзакциите.

Частичен успех: замразени 700 000 долара

Паралелно с това криптофирмата zeroShadow съобщи за ограничен, но важен успех. След сигнал от борсата BitcoinVN за необичайно висок обем транзакции, свързани с THORChain, анализаторите са успели да:

• идентифицират подозрителни средства;

• замразят около 700 000 долара, преди те да бъдат конвертирани в Monero (XMR) – криптовалута, ориентирана към поверителност и трудна за проследяване.

Манипулационен ефект върху пазара на Monero

ZachXBT посочва, че атакуващият е започнал масово да конвертира откраднатите BTC и LTC в Monero, използвайки множество бързи обменни услуги.

Акцент:
Този процес е довел до рязко покачване на цената на XMR с около 70% в рамките на няколко дни след атаката, макар че впоследствие част от ръста е коригиран.

Освен това част от биткойните са били „бриджнати“ към Ethereum, Ripple и Litecoin чрез THORChain – тактика, често използвана за затрудняване на проследяването.

Не е свързано със Северна Корея

Въпреки мащаба и сложността на операцията, ZachXBT изрично отбелязва, че няма индикации кражбата да е свързана със севернокорейски хакерски групи, които често стоят зад големи криптообири.

Към момента остава неясно дали жертвата е частно лице или организация.

Социалното инженерство – основният фактор

Случаят е поредното доказателство, че социалното инженерство се превръща в най-ефективния инструмент за кражба на криптоактиви, често надминавайки чисто техническите атаки.

Особено тревожен е фактът, че инцидентът отново засяга Ledger – водещ производител на хардуерни портфейли. По-рано този месец стана ясно, че:

• клиентски данни (имена и контакти) са били изтекли чрез трета страна – Global-e;

• подобни течове значително улесняват таргетирани фишинг и социално-инженерни атаки.

По-широкият проблем

Както вече бе докладвано в редица разследвания, стотици милиони долари са били загубени от клиенти на големи криптоборси, включително Coinbase, именно вследствие на социално инженерство, а не на пробиви в самите платформи.