Вот один известный исторический адрес на Ethereum. Адрес можно скопировать и вставить в Erherscan, чтобы нагляднее увидеть, то о чем расскажу тут: 0x6a164122d5cf7c840D26e829b46dCc4ED6C0ae48.

Взлом старый и известный. 17 июля 2017 года, примерно в 9:00 по восточному времени был официальный запуск ICO CoinDash.

•  Через 3–13 минут после старта сайт проекта взломали. •  Хакеры заменили Ethereum-адрес для отправки средств на странице токенсейла на свой собственный (именно этот адрес 0x6a164122d5cf7c840D26e829b46dCc4ED6C0ae48). •  Инвесторы, которые зашли на сайт и отправили ETH на показанный адрес, перевели деньги хакеру. •  За ~30–60 минут на адрес пришло примерно 43 000 - 43 500 ETH (на тот момент ~$7–7.7 млн). Было около 2130 транзакций от разных адресов. •  CoinDash быстро заметили атаку, остановили продажу и опубликовали предупреждение. Что важно. Это не была компрометация блокчейна. Это был взлом сайта проекта (сайт работал на WordPress без нормальной защиты). Хакеры просто поменяли текст/адрес на странице.

Что мы тут видим:

С 17.07.2017 на адресе было много входящих транзакций. 22 страницы если отфильтровать выдачу по 100 транзакции на каждой.

На 1 стр есть адрес 0x2de74edcce90220e99e8ceb2df79baf9961bf8e2 куда ушло 488 ETH.

Что именно произошло с этими 488 ETH •  Откуда: это основной адрес хакера (тот самый, на который пришли все жертвы CoinDash 17.07.2017). •  Куда: На адрес 0x2de74edcce90220e99e8ceb2df79baf9961bf8e2 - ровно 488 ETH. •  Когда: В период сразу после хака (вся активность этого второго адреса примерно 3173 дня назад, т.е. 2017 год).

Что дальше сделал этот адрес: •  Получил 488 ETH одной транзакцией. •  Сразу же разослал почти все мелкими порциями по 33–34 ETH на 15 разных адресов. Это классический паттерн дробления средств.

Хакеры так делали, чтобы: •  Запутать следы (большую сумму сложнее отследить, когда она разбивается на много мелких). •  Вывести на разные кошельки / биржи / другие контролируемые адреса. •  Подготовить вывод или частичный возврат.

Кто вор в этой истории

Основной вор - контролер адреса 0x6a164122d5cf7c840D26e829b46dCc4ED6C0ae48 (тот, куда пришли все ~43 000+ ETH от жертв).

Адрес 0x2de74edcce90220e99e8ceb2df79baf9961bf8e2 это его вспомогательный кошелек.

Да, Chainalysis, Qlue, TRX и подобные платформы дают мощную кластеризацию и визуализацию связей. Но базовые паттерны компрометации и движения средств часто можно увидеть и на бесплатном Etherscan, если понимать, на что смотреть. В посте приложила картинку, того, как выглядит современная атака вора, они стали намного более сложные. Отследить можно, но вот вернуть намного сложнее.

#CryptoCompliance #BlockchainForensics #OnChainAnalysis #AML #CryptoOps #Ethereum #OnChainInvestigation #FundTracing #CryptoSecurity #DeFiCompliance #BlockchainAnalytics #CryptoEducation