Пожилой криптоинвестор, известный как «HEX 19», потерял почти 4,5 миллиона долларов в результате медленного взлома, который опустошал его застейканный HEX в течение нескольких лет.
Сначала казалось, что криптокит выводит средства. Но вскоре сообщество осознало: он не выводил свои токены добровольно — стал жертвой серьёзной атаки.
Кибератака началась в ноябре 2021 года, затронула несколько фишинговых кошельков и была связана с онлайн-сущностью, известной как «Konpyl» — знакомым криптоследователям злоумышленником.
Взлом не только потряс цену токена, но и выявил сеть мошеннических операций, связанных с Inferno Drainer и мошенническим кошельком Rabby на сумму 1,6 миллиона долларов в феврале 2024 года.
**Хакеры HEX и сеть связей**
Следователь по блокчейну, говоривший с Cointelegraph на условиях анонимности, сказал: «Существует прямое взаимодействие с кошельками, использованными в мошенничестве с поддельным приложением Rabby, а также средства жертвы HEX19, которые напрямую поступили на кошельки, использованные для отмывания доходов от фишингового мошенничества Inferno Drainer».
Первая крупная партия средств была выведена с кошелька жертвы в ноябре 2021 года, и с тех пор вывод продолжался, поскольку активы, заблокированные на десятилетний срок, продолжали разблокироваться, а некоторые из них были досрочно закрыты хакером с уплатой штрафов.
Чем глубже следователи погружались в кошельки, связанные со взломом HEX19, тем яснее становилось, что это не единичный случай для хакера. Одни и те же адреса снова и снова появлялись в фишинговых кампаниях, средствах для опустошения кошельков и следах отмывания денег.
Кошельки, используемые хакером HEX19, мошенничеством с поддельным кошельком Rabby и несколькими схемами, связанными с Inferno Drainer, имеют общий адрес: Konpyl.
В октябре 2024 года Cointelegraph Magazine проанализировал ончейн и оффчейн доказательства, собранные следователем и правительственным агентством США, которые связывают Konpyl с Константином Пылинским, руководителем инвестиционной фирмы из Дубая, использующим этот псевдоним в своей онлайн-деятельности. Пылинский отрицает какую-либо причастность к мошенничествам.
Следователь сказал, что атака на HEX19 стала возможной из-за того, что жертва хранила свои начальные фразы в облаке. Записи транзакций показывают, что хакеры используют средства жертвы для первоначальных переводов на свои незаконные счета, что является характерной чертой схем, связанных с Konpyl.
«Хакер HEX19 следует аналогичным шаблонам из других мошенничеств, совершённых “Konpyl”», — сказал он.
В отчёте за ноябрь 2024 года Cointelegraph узнал, что кошельки, связанные с Konpyl, имели большое количество взаимодействий со схемами, связанными с Inferno Drainer, угрозой типа «мошенничество как услуга». Fantasy, специалист по криминалистике и руководитель расследований в страховой компании Fairside Network, сообщил Cointelegraph, что Konpyl, возможно, действует не столько как прямой злоумышленник, сколько как прокси-сервер для отмывания денег.
**Внутри взлома HEX**
Первая партия средств начала выводиться с кошелька 21 ноября 2021 года, но записи блокчейна показывают, что кошелёк мог быть скомпрометирован ещё 3 ноября, когда кошелёк жертвы (0x97E…7a7df) осуществил отток средств на один из кошельков хакера.
21 ноября с HEX19 было снято почти 4 миллиона долларов в девяти отдельных транзакциях. Основная часть потерь приходилась на токены HEX. Основным получателем стал адрес 0xcfe…8A11D, который мы назовём HEX Hacker 1 (HH1).
В тот же день HH1 начал делить украденные средства. Он отправил 2,64 миллиона долларов (12,33 миллиона HEX) на второй кошелёк 0xA30…2EA17, или HEX Hacker 2 (HH2).
Последующая транзакция 10 декабря 2021 года отправила ещё 616 700 HEX (на тот момент стоивших около 86 700 долларов) с HH1 на HH2.
Затем 18 февраля 2022 года HH1 перевёл 5,2 миллиона HEX (на тот момент стоивших около 1 миллиона долларов) и немного эфира на ещё один адрес: 0x719a…4Bd0c, где средства остаются до сих пор.
Кошелёк HH2, по-видимому, играет центральную роль в попытках отмывания денег.
С декабря 2021 года по март 2022 года HH2 отправил более 1 миллиона долларов в Tornado Cash, наиболее известный протокол анонимизации Ethereum.
HH2 также перевёл 106 758 DAI на промежуточный кошелёк 0x837…2Ba9B, который использовался для взаимодействия с DeFi-платформами, такими как 1inch, для дальнейшего сокрытия или обмена средств.
Промежуточный кошелёк взаимодействует с 0x7BF…C4eAa, кошельком, который получил прямые поступления от Konpyl (онлайн-персоны, которая фигурировала во многочисленных фишинговых и опустошающих операциях).
Цепочка отмывания HH2 пересекается с кошельком с высоким риском — 0x909…e4371, помеченным более чем 70 подозрительными транзакциями.
16 мая 2024 года третий кошелёк Hex Hacker (HH3) 0xdCe…4f0d8 начал выводить средства с скомпрометированного адреса HEX19.
HH3 получил около 108 000 долларов в HEX со счёта жертвы.
HH3 подключается к адресу 0x87B…53d92, который ранее фигурировал в расследовании Cointelegraph в ноябре как часть схемы, связанной с Inferno Drainer. Тот же кошелёк имеет общий адрес (0xF2F…6a608) с Konpyl, который связывает инцидент, связанный с Inferno в марте 2024 года, и фишинговое происшествие с Rabby.
Наконец, в игру вступает четвёртый кошелёк 0x7cc…59ee2 — HEX Hacker 4 (HH4). Начиная с 12 января 2024 года, HH4 начал перекачивать средства с кошелька HEX19 до марта.
Этот кошелёк взаимодействует с 0x4E9…c71C2, известным адресом, использованным мошенником с поддельным кошельком Rabby.
Добавить комментарий