BitOK выяснил, куда ушла криптовалюта, украденная у кросс-чейн моста Heco
В конце ноября 2023 года основатель экосистемы TRON и фактический владелец бирж HTX (бывш. Huobi) и Poloniex Джастин Сан объявил о взломе HTX.
Источник: twitter.com
В рамках инцидента неизвестные также смогли взломать кросс-чейн мост Heco. Как именно хакеры заполучили доступ к приватным ключам, неясно.
По итогам инцидента, биржа HTX и Heco потеряли в общей сумме около $100 млн. Из этой суммы более 64% потерь пришлось на Heco. Команда BitOK (Бит Окей) попыталась разобраться, куда делись украденные средства.
По итогам инцидента, биржа HTX и Heco потеряли в общей сумме около $100 млн. Из этой суммы более 64% потерь пришлось на Heco. Команда BitOK (Бит Окей) попыталась разобраться, куда делись украденные средства.
Общая картина потерь
Ссылка на графики: Heco Bridge Exploit
По нашим подсчетам, кросс-чейн мост Heco потерял в рамках атаки более $67,5 млн в разных криптовалютах. В частности, неизвестные смогли похитить более $42 млн в стейблкоине USDT стандарта ERC-20, более 10 144 ETH (около $22,8 млн на момент расследования), а также сотни тысяч долларов в разных токенах вроде Uniswap (UNI), Chainlink (LINK) и других.
Общая картина потерь Heco выглядит следующим образом:
Общая картина потерь Heco выглядит следующим образом:
● 42 110 000 USDT (~ $42,1 млн);
● 10 145,982 ETH (~$22,8 млн);
● 489 HBTC (~$19,3 млн);
● 346 867 120 000 SHIB (~ $3,37 млн);
● 173 200 UNI (~$1,09 млн);
● 608 000 USDC (~$608 тыс.);
● 42 399 LINK (~$640 тыс.);
● 10 145,982 ETH (~$22,8 млн);
● 489 HBTC (~$19,3 млн);
● 346 867 120 000 SHIB (~ $3,37 млн);
● 173 200 UNI (~$1,09 млн);
● 608 000 USDC (~$608 тыс.);
● 42 399 LINK (~$640 тыс.);
● 346 994 TUSD (~$346 тыс.).
Все украденные у кросс-чейн моста Heco средства поступали на один и тот же адрес: 0xFc146D1CaF6Ba1d1cE6dcB5b35dcBF895f50B0C4 (далее — 0xFc1…0B0C4).
Движения по адресу 0xFc1…0B0C4. Источник: parsec.fi
Отслеживаем отмывание украденных USDT
Украденные средства в USDT неизвестные перевели на адрес 0xd20e8c4ee9f4464d60BddaF9eD2dfE8C7263e167 (далее — 0xd20…3e167).
Отметим, что средства в USDT были распределены хакерами сложнее всего. Это связано не только с наличием множественных дроблений между адресами, но и тем, что здесь впервые были замечены непоименованные сервисы, которые, предположительно, принадлежат торговым площадкам.
Отметим, что средства в USDT были распределены хакерами сложнее всего. Это связано не только с наличием множественных дроблений между адресами, но и тем, что здесь впервые были замечены непоименованные сервисы, которые, предположительно, принадлежат торговым площадкам.
1) Бо́льшую часть USDT в размере 35 858 086 отправили на адреса децентрализованного обменника Uniswap. На площадке злоумышленники обменяли USDT на криптовалюту Ethereum (ETH).
Пример отправки средств: 0x0ea7ae689a8e246c3ffe412a9c0f1c5d02180af1546e312353fc4cd8f65ee003.
2) После конвертации средства вывели на адрес 0xd20…3e167, с которого дальше отправили на адрес 0xe47e6dA16Bb83EB0FD26b3F29b15CE8Fab089B9e. Этот адрес примечателен тем, что помимо конвертированных USDT, злоумышленники также перевели туда ETH, украденные напрямую у Heco.
Пример отправки средств: 0x0ea7ae689a8e246c3ffe412a9c0f1c5d02180af1546e312353fc4cd8f65ee003.
2) После конвертации средства вывели на адрес 0xd20…3e167, с которого дальше отправили на адрес 0xe47e6dA16Bb83EB0FD26b3F29b15CE8Fab089B9e. Этот адрес примечателен тем, что помимо конвертированных USDT, злоумышленники также перевели туда ETH, украденные напрямую у Heco.
Далее конвертированные средства в ETH осели на четырех адресах, где продолжают оставаться и на момент написания материала:
● 0x7bEfDBB89C21863E910310A36Da5058704552935;
● 0xEdBdCb1b763Ef7920978c700007Ab1F05b18b8f6;
● 0x8DC70E0305c0f19d926AC8F07b61C5C2cfb9Ab75;
● 0xB6baC5CAe1cD4b7e8137bFe5254dFB1CF1F36d0e.
3) Оставшаяся часть средств с адреса 0xd20…3e167 поступила на адреса двух смарт-контрактов:
● 0x77d5f03822f94B39ad6117F6a46761EC5879031b;
● 0xEdBdCb1b763Ef7920978c700007Ab1F05b18b8f6;
● 0x8DC70E0305c0f19d926AC8F07b61C5C2cfb9Ab75;
● 0xB6baC5CAe1cD4b7e8137bFe5254dFB1CF1F36d0e.
3) Оставшаяся часть средств с адреса 0xd20…3e167 поступила на адреса двух смарт-контрактов:
● 0x77d5f03822f94B39ad6117F6a46761EC5879031b;
По нашим данным, два вышеуказанных смарт-контракта могут принадлежать непоименованным сервисам. Наше предположение основано на оценке количества транзакций и оборота этих адресов. Мы предполагаем, что смарт-контракты также могут быть связан с Uniswap, либо активно пользоваться данным сервисом.
Отслеживаем отмывание украденных ETH
Как утверждалось ранее, помимо конвертированных USDT, на адрес 0xe47e6dA16Bb83EB0FD26b3F29b15CE8Fab089B9e также поступили средства в ETH, которые хакеры напрямую похитили у Heco.
Их тоже в дальнейшем перевели на четыре адреса, как это было в случае со стейблкоином USDT:
Их тоже в дальнейшем перевели на четыре адреса, как это было в случае со стейблкоином USDT:
Отслеживаем отмывание украденных UNI
Украденные средства в UNI вывели на адрес 0x5843774Dc56c3331693fa969995844De1EFa7EeD. Далее неизвестные повторили схему с USDT и обменяли UNI на ETH через Uniswap.
Полученный ETH вывели на адрес 0x5843774Dc56c3331693fa969995844De1EFa7EeD и в дальнейшем перевели на адрес 0x945647F6225a44E35a0Ea50F9FE2b4321794aA29. На этом адресе средства продолжает оставаться до сих пор.
Полученный ETH вывели на адрес 0x5843774Dc56c3331693fa969995844De1EFa7EeD и в дальнейшем перевели на адрес 0x945647F6225a44E35a0Ea50F9FE2b4321794aA29. На этом адресе средства продолжает оставаться до сих пор.
Отслеживаем отмывание украденных USDC
В случае с украденными средства в стейблкоине USDC ситуация выглядела уже иначе. Тут хакеры вывели средства на адрес 0x85388BD5233eCC8D3C74256Ce7474bC8C7e559Ae (далее — 0x853…559Ae), а после этого средства конвертировали не только на Uniswap, но и на SushiSwap и MetaMask Swap. Во всех случаях USDC конвертировали в ETH и возвращали обратно на адрес 0x853…559Ae. Далее полученные ETH в полном объеме вывели на адрес 0x7aBd8ddA6CcA1785Af2f812b171B98D6924ff5D2. На этом адресе средства остаются до сих пор.
Отслеживаем отмывание украденных LINK
Украденные средства в LINK также были обменены на ETH через Uniswap с использованием адреса 0xf59849a98F16BC4187E38E2287C9CCba2D02b6fF. В итоге все средства осели на адресе 0x493BB5E2a551aE8FA22EfF0F964820712Ed77Dcb, где продолжают находиться на момент написания материала.
Отслеживаем отмывание украденных TUSD
Украденные средства в стейблкоине TUSD выделились на фоне других. Здесь использовался посреднический адрес 0x9e1Ca4EBc06C760C210E618488272B966685049F, чтобы направить украденные средства не только на PancakeSwap, но и на 1inch для свопа TUSD на ETH. Далее средства были выведены на адрес 0x153D99836E197f92a8385bA80AfBB57b69de2cC1.
Вывод
На момент написания расследования неясно, кто именно заполучил доступ к приватным ключам кросс-чейн моста Heco. В каждом случае злоумышленники действовали одинаково: они переводили украденные криптовалюты на промежуточный адрес, а затем отправляли средства на децентрализованные обменники.
Во всех случаях хакеры обменивали альткоины и стейблкоины на Ethereum (ETH) и переводили их на определенные адреса, где они хранятся до сих пор.
Во всех случаях хакеры обменивали альткоины и стейблкоины на Ethereum (ETH) и переводили их на определенные адреса, где они хранятся до сих пор.
