Викрадені у Phemex мільйони пішли на нові адреси
19 лютого почала рухатися частина коштів, викрадених внаслідок січневого злому сінгапурської криптовалютної біржі Phemex. На це звернули увагу аналітики Global Ledger.
Більше ніж 2080 ETH (~$6 млн) надійшло на 14 нових адрес. Менше ніж 4000 ETH залишаються в основному Ethereum-гаманці, пов’язаному з атакою.
Експерти зазначили на заплутану низку транзакцій і взаємодію з багатьма платформами та протоколами, що може свідчити про високий рівень знань у блокчейні у кіберзлочинців.
Зокрема, один недавно створений гаманець отримав 601,34 ETH через п’ять окремих переказів, перш ніж кошти були консолідовані на іншій новій адресі кросчейн-моста Across Protocol. Потім їх додатково заплутали під час відправлення на другу адресу сервісу.
Окрім прямих переказів на міксери Tornado Cash і eXch для анонімізації коштів, зловмисники використовували платформу Wintermute, а також протоколи DLN Trade і THORChain для обміну активами.
Частина коштів надійшла на кастодіальні платформи, включаючи OKX і CoinEx, але більшість переміщень здійснювалися з використанням ончейн-інструментів, таких як кросчейн-сервіси Bitget і гаманець ChangeNOW.
За спостереженнями Global Ledger, до цієї серії транзакцій хакери переказували викрадені активи протягом останніх кількох тижнів, включаючи злив 50 BTC і 4 млн XRP.
На даний момент Phemex вже відновила свою торговельну діяльність і попередила клієнтів про необхідність уникати використання старих депозитних адрес. Генеральний директор Федеріко Варіола заявив, що частину біржових коштів перемістять у холодне сховище в рамках «всеосяжного оновлення безпеки».
Нагадаємо, 23 січня аналітики Cyvers Alerts виявили «множинні підозрілі транзакції» з використанням гарячих гаманців Phemex. Як стало відомо пізніше, атака охоплювала понад 275 транзакцій лише з використанням EVM-ланцюгів.
За останніми оцінками, збиток становив $85 млн. Експерти припустили, що до інциденту могли бути причетні хакери, пов’язані з КНДР.
