Поначалу все выглядело так, будто кит HEX выводит деньги. Но вскоре сообщество поняло, что он не добровольно вывел свои токены - он стал жертвой крупного эксплойта.
Кибератака началась в ноябре 2021 года, затронула несколько фишинговых кошельков и была отслежена онлайн-организацией, известной как «Konpyl» - актор угроз, знакомый криптоисследователям.
Взлом не только пошатнул цену токена, но и раскрыл сеть мошеннических операций, связанных с Inferno Drainer и аферой с поддельным кошельком Rabby на $1,6 млн в феврале 2024 года.
Цена токена HEX падает после взлома HEX19. Источник: CoinGecko
Блокчейн-следователь, беседовавший с Cointelegraph на условиях анонимности, сказал: «Существует прямой контрагентский риск с кошельками, использованными в мошенничестве с поддельным приложением Rabby, а также средства жертв HEX19 перетекают непосредственно в кошельки, использованные для отмывания незаконных доходов от фишинговой аферы Inferno Drainer».
Первая крупная партия оттока средств из кошелька жертвы произошла в ноябре 2021 года и продолжалась в течение нескольких лет, когда активы, запертые в десятилетних ставках, продолжали разблокироваться, а некоторые были досрочно закрыты хакером со штрафами.
Чем глубже следователи копались в кошельках, связанных со взломом HEX19, тем больше становилось ясно, что для хакера это был не единичный случай. Одни и те же адреса появлялись снова и снова во время фишинговых кампаний, слива кошельков и отмывания денег.
В своем расследовании, проведенном в октябре 2024 года, журнал Cointelegraph проанализировал данные, полученные в режиме реального времени и вне его.n доказательства, собранные следователем и правительственным агентством США, которые связывают Konpyl с Константином Пылинским, руководителем инвестиционной компании в Дубае, который использует этот ник в своей деятельности в Интернете. Пылинский отрицает свою причастность к мошенничеству.
По словам следователя, атака на HEX19 стала возможной благодаря тому, что жертва хранила свои начальные фразы в облаке. Записи транзакций показывают, что хакеры используют средства жертв для первоначальных переводов на свои незаконные счета, что является общей чертой схем, связанных с Konpyl.
В отчете за ноябрь 2024 года Cointelegraph узнал, что кошельки, связанные с Konpyl, имели большое количество взаимодействий с мошенниками, связанными с Inferno Drainer, актором угроз «мошенничество как услуга».
Фэнтези, специалист по криминалистике и ведущий расследования в криптостраховой компании Fairside Network, рассказал Cointelegraph, что Konpyl, возможно, функционирует не столько как прямой злоумышленник, сколько как прокси для отмывания денег.
Первая партия средств начала выводиться из кошелька 21 ноября 2021 года, но записи блокчейна показывают, что кошелек мог быть скомпрометирован еще 3 ноября, так как кошелек жертвы (0x97E...7a7df) имел отток на один из кошельков хакера.
21 ноября из HEX19 было выведено почти 4 миллиона долларов в ходе девяти отдельных транзакций. Большая часть потерь пришлась на токены HEX. Основным пунктом назначения был адрес 0xcfe...8A11D, который мы будем называть HEX Hacker 1 (HH1).
В тот же день HH1 начал делить украденные средства. Они отправили 2,64 миллиона долларов (12,33 миллиона HEX) по адресукондовый кошелек, 0xA30...2EA17, или HEX Hacker 2 (HH2).
Посредник взаимодействовал с 0x7BF...C4eAa, кошельком, который получал прямые поступления от Konpyl (онлайн-персона, фигурировавшая в многочисленных фишинговых и сливных операциях).
Цепочка отмывания HH2 также пересекается с кошельком высокого риска - 0x909...e4371, отмеченным за более чем 70 подозрительных транзакций.
16 мая 2024 года третий кошелек, Hex Hacker (HH3) - 0xdCe...4f0d8 - начал выводить средства со скомпрометированного адреса HEX19.
HH3 подключился к 0x87B...53d92 - адресу, который Cointelegraph ранее выявил в ходе ноябрьского расследования как часть мошенничества, связанного с Inferno Drainer. Этот же кошелек имеет общий адрес (0xF2F...6a608) с Konpyl, который связывает аферу Inferno, связанную с мартом 2024 года, и фишинговый инцидент с кошельком Rabby.
Наконец, в дело вступил четвертый кошелек, 0x7cc...59ee2 - HEX Hacker 4 (HH4). Начиная с 12 января 2024 года, HH4 начал выкачивать средства из кошелька HEX19 до марта.
Этот кошелек взаимодействовал с 0x4E9...c71C2, который является известным адресом, используемым мошенником с поддельным кошельком Rabby.
HEX19, отставной техник-ветеран, уже переживал бумы и спады - только не такие, которые опустошали миллионы долларов из его цифрового кошелька за один день.
Он подал заявление в полицию, но биржи, по его словам, ничем не смогли помочь. Оставшиеся средства, включая 10-летние HEX-замки, превратились в бомбы замедленного действия. Он знал, что у хакеров есть доступ и они только и ждут, чтобы извлечь еще больше.
Cointelegraph обнаружил по крайней мере 180 подозрительных транзакций с ноября 2021 года по октябрь 2024 года на общую сумму более 4,5 миллиона долларов. В кошельке жертвы все еще остаются девять активных ставок, хотя их стоимость не столь значительна, как у тех, что были преждевременно закрыты и выведены ворами.
Активные ставки не так ценны, как те, что были закрыты хакерами. Источник: HEXscout
«У вас возникает чувство в животе, и вы говорите: »О Боже". А потом говоришь: «О, боже, я должен рассказать своей семье, что снова облажался»", - сказал HEX19, предположительно пенсионер в возрасте 80 лет, в интервью члену сообщества HEX Мати Аллину вскоре после эксплойта. Cointelegraph попытался связаться с HEX19, но не получил ответа.
Несмотря на потерю, HEX19 сохраняет удивительное спокойствие: "Мы на пенсии. Мы живем без долгов. Мы живем очень просто. У нас отличная семья, замечательные дочери и внучки", - сказал он в интервью сообществу 2021. «В жизни есть нечто большее, чем деньги».
Еженедельный набор инструментов, который анализирует последние события DeFi, предлагает острый анализ и раскрывает новые финансовые возможности, чтобы помочь вам принимать разумные решения с уверенностью. Доставляется каждую пятницу