Кража криптовалюты на $150 млн: сервис BitOK разоблачает Bitmama

В сентябре 2023 года команде BitOK (БитОкей) поступила информация о краже криптовалюты на сумму $150 млн. Предварительно известно, что к мошенничеству могут быть причастны Гагик Гулакян, Ваграм Степанян, а также Валерия Федякина (также известная как Bitmama). По нашим данным у Валерии Федякиной не было прямого умысла совершать преступление.

В результате OSINT-исследования, команда BitOK выявила блокчейн-адреса, предположительно принадлежащие Bitmama, с которых были выведены средства, принадлежащие клиентам Bitmama.

Исходя из имеющихся данных, Гагиком Гулакяном и Ваграмом Степаняном контролировались два адреса:

• TFzgd4W2xChinNYRB67Aks7Ki7gatynTX5;
• TXiCFKB3mpfPcsM3Ns6Mgr2oqpCF6qDFLH.

Следует отметить, что на текущий момент прямой связи между Bitmama и найденными кошельками не обнаружено, поскольку переводы с использованием этих адресов осуществлялись опосредовано. Впрочем, есть косвенные подтверждения этой связи, основанные на информации от пострадавших.

Важно подчеркнуть, что вышеперечисленные адреса на момент проведения расследования пусты и перестали осуществлять какие-либо транзакции после 17 сентября 2023 года. Именно в этот день с них были выведены оставшиеся объемы в криптовалюте. Каких-либо последующих поступлений на эти адреса на момент проведения расследования не зафиксировано.

По нашим подсчетам, около 20% от входящей на адреса Bitmama криптовалюты поступали со стороны российской биржи Garantex. Также часть средств пришла со стороны торговых площадок вроде HTX (бывш. Huobi) и других.

Последняя активность на данных адресах зафиксирована в первой декаде сентября 2023 года. Как выяснила команда BitOK, именно тогда связанные с Bitmama адреса начали активно «распылять» криптовалюту, чтобы затруднить ее отслеживание.

Внимания заслуживают адреса, предположительно, принадлежащие лично Валерии Федякиной: TFzg…nTX5 и TXiC…DFLH.

С адреса TXiC…DFLH в период с 13 по 17 сентября 2023 года были выведены все средства в размере $12 269 900 на два адреса:

1. TD5wy8pG1wPpy7L8Sa7v5J4zgunZTDxC4P;
2. TQ1aQuGE42trkUsrRrdQe2QEP2nMKKGrxK.

С адреса TD5w…xC4P средства были направлены еще на два адреса:

1. TJq9wvyxEJ7yoCDPuWb3KDrSqnctPELzR4;
2. TUairnLkdqc6QJCquPSbyJJgCF4jiLSD5f.

Адрес TUai…SD5f используется для разделения и пересылки средств на множество других адресов, включая депозитные адреса различных криптовалютных бирж: Binance, Bybit, HTX и т.д. (Рис.2):

В свою очередь средства с адреса TJq9…LzR4 средства были отправлены на адрес TRhowMzGbfwyQaCkn62QfKFiyCiUJ454Si.

Важно также отметить, что с адреса TQ1a…GrxK криптовалюта также направлялась на адрес TRho…54Si с использованием адреса-посредника TYk83xAhHCLiU5MCCUhPQNAvvJDtzueA4J. Исходя из оборота и анализа поведения посреднического адреса, можно предположить, что он может быть депозитным адресом некоего неидентифицированного сервиса.

С адреса TRho…54Si средства направились на три адреса:

1. TAiP9w3yTiLFZRcSZKKA2hrYgBLT18dqvh;
2. TKk3rHD99Djdi3copVrpwhsYe45r2LsDa9;
3. TUTyVUD9embHrAgPFpdjRzwgdQ8ue4nmem.

В свою очередь с адресов TUTy…nmem и TAiP…dqvh произошло дальнейшие «распыление» криптовалюты (Рис. 2,3). А с адреса TKk3…sDa9 средства были отправлены на адрес TWvTgUZUpCtADEPoEpeF51AJEq7fvAkgy2, который, вероятно, также является депозитным адресом некоего неидентифицированного сервиса.

Также важно отметить, что бОльшая часть средств на адресе TXiC…DFLH поступила с адреса THgM5CcfzW8hp7LcEZp1bhrLBPW2R5kaag в размере $11 319 985.

При этом ранее средства направлялись наоборот — с адреса TXiC…DFLH на адрес THgM…kaag, что может свидетельствовать об аффилированности владельцев этих адресов, либо о том, что данными адресами владеет одно лицо.

Список транзакций адреса TXiC…DFLH выглядит следующим образом (Рис.4):

Схема вывода средств с адресов в период с 13 по 17 сентября 2023 года, выглядит следующим образом (Рис.5):

Интересным для исследования также представляется адрес TFzg…nTX5. Дело в том, что большинство средств на данный адрес поступили с адреса TR53QCrcMkt6MRat264Ko7M4fj7oGtr3uK, который принадлежит криптовалютной бирже HTX. С этого же адреса покрывались комиссионные затраты для адреса TFzg…nTX5.

Сам адрес TFzg…nTX5 перестал осуществлять транзакции с 17 сентября 2023 года. Однако, если посмотреть историю транзакций данного адреса и список адресов, с которыми он взаимодействовал, то можно заметить, что большинство контрагентов по транзакциям составляют депозитные адреса обменников, а также адреса, принадлежащие криптовалютной бирже Garantex (Рис.6).

Исходя из анализа найденных адресов, предположительно, принадлежащих Гагику Гулакяну и Ваграму Степаняну, можно утверждать, что все средства были выведены на различные неидентифицированные сервисы, а также криптовалютные биржи.

Следует подчеркнуть, что, по нашим данным, перемещение средств на указанных адресах происходило без ведома Валерии Федякиной, и возможно, что она не имела умысла совершать преступление.

В целях введения заблуждения провайдеров блокчейн аналитики, были использованы адреса-посредники различных сервисов, где средства смешивались и затем пересылались на несколько других адресов.

Большинство средств по-прежнему двигается, и с каждым новым переводом их будет все сложнее отследить. Это обуславливается, тем, что злоумышленники используют различные методы скрытия движения средств при отправке криптовалюты. Поэтому важно продолжать их мониторинг для обнаружения.

Команда BitOK продолжит следить за развитием ситуации и готова оказать помощь жертвам этого масштабного мошенничества.