31 мая 2024 года в результате взлома с японской биржи Bitcoin.DMM.com было украдено 4502,9 BTC (стоимостью около 308 млн долларов). Агентство кибербезопасности Match Systems провело анализ текущей ситуации по данному делу.
Было установлено следующее:
1. Для отмывания украденных средств хакер в основном использует криптовалютный миксер JoinMarket. На данный момент на адреса, связанные с JoinMarket, было отправлено более 2500 BTC. Остальные средства (2000 BTC) находятся на 4 первоначальных адресах хакера:
bc1q2tu4dxyvnaquar96mj99yqjanfzgg3fv4gzytd
bc1qr4vnu4f4tl3gwfxt6a5hgt6vuusgsd0j2cnz74
bc1qrtltlc7zjzj3knde2tqjt7tl2p5l2keh4l2uka
bc1qx6jpnnfjrfcx9ehhdmj7qqyzpyd8pek00trrq7
2. Используя методы программного анализа характеристик и паттернов до и после миксера JoinMarket, учитывая объемы транзакций, даты/время, а также другие специализированные методы, команде Match Systems удалось идентифицировать первый возможный крупный вывод из миксера в размере 222,8 BTC (стоимостью 12,8 млн долларов) на адрес:
bc1qjws6r0r8zhy7dm329l0wnfpn2fra68pltfkrtz
Также было определено, что значительная часть украденных средств на общую сумму более 37,2 млн долларов США после миксера JoinMarket могла быть выведена через мост Avalanche, THORChain, Threshold и сервис SWFT.pro на несколько депозитных адресов процессингового сервиса HuionePay:
TLk8xMroBtfktfhbEQRjukAYiKfpZZZZZZ
TC8eG6oqZVr2xsZ3V9DJjZZABsGUbwrtzS
TXNdzqFtG6P6rgC1QRTUkCinJFkPV5ghti
TQXU95jk1BgwD6bDGAwki3utcq5ZuXyiVN
TJyM81bZ1WAcTTVBxJhddcZhbRM3TKVtRw
TNyw5peRGP7SHyuRH8k4SzzJixRvVVVVVV
TYPoqic5ZdSgJTMPXdhJra7QeDwja6jcP9
TDWejoQGGBWTvioz34UyS6YF6S2Xry1naJ
TQ3udS9wzy73yYWJ3mcQyjBqwYJyNq1zaM
Подробную информацию об этом также предоставляет известный расследователь ZachXBT в своем канале «X» (ранее Twitter).
Часть средств на вышеуказанных депозитных адресах могла быть получена в результате других крупных взломов.
Интересно, что один из операционных адресов HuionePay был заблокирован на уровне смарт-контракта Tether Limited 13 июля 2024 года — TNVaKWQzau7xL9bcnvLmF9KSEQkWEs4Ug8 (текущий баланс на этом адресе составляет более 29,6 млн USDT).
3. Следует отметить, что полный цикл отмывания денег (с учетом общего объема украденных средств) может занять от нескольких месяцев до года. Match Systems продолжит отслеживать движение украденных средств.
