Plus de 1 500 bitcoins (plus de 100 millions de dollars américains au cours actuel), qui étaient conservés dans les caches des hackers depuis plus de 7 mois, ont commencé à bouger. Les Fonds volés associés à des piratages majeurs de ces dernières années, et précédemment attribués par l'enquête du FBI aux activités du Groupe Lazarus (communiqué de presse du FBI), ont commencé à être blanchis.
Voici une liste de ces adresses :
3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG
39idqitN9tYNmq3wYanwg3MitFB5TZCjWu
3AAUBbKJorvNhEUFhKnep9YTwmZECxE4Nk
3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc
3NbdrezMzAVVfXv5MTQJn4hWqKhYCTCJoB
34VXKa5upLWVYMXmgid6bFM4BaQXHxSUoL
Notre équipe d'analystes, qui enquête sur cet incident, a déterminé qu'à ce jour, les hackers ont déjà réussi à blanchir plus de 44 BTC (plus de 3 M$ au cours actuel) via les plateformes d'échange de cryptomonnaies HTX, CoinEx et FixedFloat.
Malgré la présence de marquages de sanctions, les hackers parviennent presque librement à blanchir les fonds volés via des plateformes d'échange de cryptomonnaies qui respectent les politiques AML. Cela est largement possible parce que les hackers utilisent des schémas de blanchiment spéciaux qui leur permettent d'induire en erreur les systèmes AML des plateformes, lesquels ne suivent pas toujours les marquages et apprennent l'acceptation de fonds volés après que les hackers les ont déjà retirés des plateformes.
Match Systems exhorte les plateformes d'échange de cryptomonnaies et toute la communauté crypto à prêter attention aux adresses de hackers ci-dessus afin d'empêcher les hackers de mener à bien leurs plans.
Hacker :
Équipe Safemoon :
Hacker :
Équipe Safemoon :
Équipe Safemoon :
Équipe Safemoon :
0x60dc5bb048310224b8732d732f4a32d16690e470 – utilisée par un Tiers inconnu, une personne qui connaît le hacker et l'équipe Safemoon, et disposée à jouer les médiateurs dans l'incident, a envoyé des messages au hacker
0x70b8172e628992007453aa4fe27048b59957e0ef – utilisée par un Tiers inconnu pour envoyer des messages à l'équipe Safemoon et au hacker


Chronologie des événements clés
La chronologie de l'incident (UTC) telle quelle

Notre zoo
Les points d'intérêt, conformément à ce qui précède :
0x286e09932b8d096cba3423d12965042736b8f850 – l'adresse du retrait initial des actifs du contrat intelligent. Également utilisée par le hacker pour envoyer des messages à l'équipe du projet Safemoon (nous l'appellerons « Capybara roux »)
0x237d58596f72c752a6565858589348d0fce622ed – l'adresse où les actifs sont actuellement conservés. (nous l'appellerons « Suricate bleu ») 000000000000000000000000000000
0x60dc5bb048310224b8732d732f4a32d16690e470 – l'adresse depuis laquelle a été reçu le message proposant le médiateur pour les négociations (appelons-la « Pigeon jaune »)
0x60dc5bb048310224b8732d732f4a32d16690e470 – l'adresse depuis laquelle a été reçu le message proposant le médiateur pour les négociations (appelons-la « Pigeon jaune »)
Désanonymisation des bêtes
- La désanonymisation du Capybara roux peut être réalisée en obtenant auprès de Binance des informations sur les propriétaires des adresses de dépôt :
0x207e689ba4fdcd8e6e3a4a40d8247d7cce1462b3, 0xeec475b4bed5822eef6ccda45c52ff54da1414f7
et les initiateurs des transactions qui ont fourni le « gas »
0x34927071e8c58c99db192b88f58a3ef2b1b6cf998f21dc1a08be270e519ec57e
0xb730a8be2a0a2ec13aba48fcc33dae8a1d5e31383df270fee16d48b681e1c861
0x40e2969e2c88c642a332acaca8c706d3c415d8a253d45d36ca77c6b6a790d54f
0x1ee79a12b795d3554e98c4c84c482f2e2f3b6eb87e80649dfccee20f8e818382
0x24da81ed18e1d129dffdbb9ffa0c8c37edfd22b012f52d89030a45169f47a17e

- Désanonymisation du Suricate bleu via le Capybara roux

- La désanonymisation du Pigeon jaune peut être réalisée en obtenant auprès de Binance des informations sur le propriétaire de l'adresse de dépôt :
TLaUFJmCwU3GazcmHKVkvNKE4EgU9qmvYH
et l'initiateur de la transaction qui a fourni le « gas »
2b081cd589254db6ed7eaf5128d2a3c762ac66bea183d4ce2a65941279984fa8
Également auprès de Paxful sur d'autres initiateurs :
656995b7d2af3941f916db96cbd1d903717ca869b877b37042bef7e2503cc4c5
036ca0e667922e741d3813666bc04bb76f8b34f3c875d72ca5f8f82ba91b9c45
b6e2ff66ee8e6f28476a6d02a5cb9c439546fee306f4ee589e1ea30ba43cc1b9
3fc3ab6748937ddd9d791c036673b7cf90f55b71cb64bddebe76b0d5b4edda0c

- Quant à l'adresse du « Renard noir » 0x70b8172e628992007453aa4fe27048b59957e0ef, il n'est pas possible pour le moment d'établir de données supplémentaires.

Quelques détails techniques du piratage et la réaction de la communauté
Ce bug, à son tour, a provoqué une vague d'indignation et d'accusations contre les développeurs. La communauté a rejeté l'idée que ce bug était accidentel et a accusé les développeurs d'avoir intentionnellement introduit le bug dans un contrat intelligent en fonctionnement.
Plus, et plus, et plus…

Entre autres choses, l'utilisateur de « https://dune.com/ » au pseudonyme « @factsudeny » a publié les adresses qui, selon lui, étaient liées à Safemoon et a fourni une analyse de ces adresses. L'analytique cross-chain montre que ces adresses ont des correspondances dans diverses blockchains 0x, mais tant qu'il n'est pas confirmé qu'elles appartiennent à Safemoon et que la nécessité de les étudier tout court n'est pas établie, une recherche plus poussée reste sans intérêt.

En guise de conclusion
L'étude a révélé des liens étroits entre les attaquants et les plateformes d'échange de cryptomonnaies centralisées, ce qui, à son tour, permettra aux forces de l'ordre de demander les données pertinentes et d'identifier les personnes impliquées, s'il existe une raison impartiale de le faire
Le fait que les développeurs aient apporté au contrat intelligent des modifications permettant de telles manipulations mérite une attention supplémentaire. Étant donné que la version précédente du contrat intelligent ne présentait pas de telles vulnérabilités, et qu'après la mise à jour un piratage s'est produit dans un laps de temps relativement court, il semble raisonnable de mener un audit interne supplémentaire concernant les personnes impliquées dans ces modifications.
Post-scriptum
Cette recherche peut être incomplète et certaines informations peuvent manquer, car elle a été réalisée par notre équipe sur son propre temps à des fins d'entraînement. Au moment de la rédaction, nous n'avons aucun contrat ni NDA nous restreignant dans la collecte, l'analyse ou la diffusion de l'information, ainsi que dans une recherche approfondie de l'incident, si nécessaire.
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
