Кража криптовалюты на $150 млн: сервис BitOK разоблачает Bitmama
В сентябре 2023 года команде BitOK (БитОкей) поступила информация о краже криптовалюты на сумму $150 млн. Предварительно известно, что к мошенничеству могут быть причастны Гагик Гулакян, Ваграм Степанян, а также Валерия Федякина (также известная как Bitmama). По нашим данным у Валерии Федякиной не было прямого умысла совершать преступление.
I. Выявленные адреса
В результате OSINT-исследования, команда BitOK выявила блокчейн-адреса, предположительно принадлежащие Bitmama, с которых были выведены средства, принадлежащие клиентам Bitmama.
Исходя из имеющихся данных, Гагиком Гулакяном и Ваграмом Степаняном контролировались два адреса:
Следует отметить, что на текущий момент прямой связи между Bitmama и найденными кошельками не обнаружено, поскольку переводы с использованием этих адресов осуществлялись опосредовано. Впрочем, есть косвенные подтверждения этой связи, основанные на информации от пострадавших.
Важно подчеркнуть, что вышеперечисленные адреса на момент проведения расследования пусты и перестали осуществлять какие-либо транзакции после 17 сентября 2023 года. Именно в этот день с них были выведены оставшиеся объемы в криптовалюте. Каких-либо последующих поступлений на эти адреса на момент проведения расследования не зафиксировано.
По нашим подсчетам, около 20% от входящей на адреса Bitmama криптовалюты поступали со стороны российской биржи Garantex. Также часть средств пришла со стороны торговых площадок вроде HTX (бывш. Huobi) и других.
Важно подчеркнуть, что вышеперечисленные адреса на момент проведения расследования пусты и перестали осуществлять какие-либо транзакции после 17 сентября 2023 года. Именно в этот день с них были выведены оставшиеся объемы в криптовалюте. Каких-либо последующих поступлений на эти адреса на момент проведения расследования не зафиксировано.
По нашим подсчетам, около 20% от входящей на адреса Bitmama криптовалюты поступали со стороны российской биржи Garantex. Также часть средств пришла со стороны торговых площадок вроде HTX (бывш. Huobi) и других.
II. Движение средств
Последняя активность на данных адресах зафиксирована в первой декаде сентября 2023 года. Как выяснила команда BitOK, именно тогда связанные с Bitmama адреса начали активно «распылять» криптовалюту, чтобы затруднить ее отслеживание.
Внимания заслуживают адреса, предположительно, принадлежащие лично Валерии Федякиной: TFzg…nTX5 и TXiC…DFLH.
С адреса TXiC…DFLH в период с 13 по 17 сентября 2023 года были выведены все средства в размере $12 269 900 на два адреса:
С адреса TD5w…xC4P средства были направлены еще на два адреса:
Адрес TUai…SD5f используется для разделения и пересылки средств на множество других адресов, включая депозитные адреса различных криптовалютных бирж: Binance, Bybit, HTX и т.д. (Рис.2):
Внимания заслуживают адреса, предположительно, принадлежащие лично Валерии Федякиной: TFzg…nTX5 и TXiC…DFLH.
С адреса TXiC…DFLH в период с 13 по 17 сентября 2023 года были выведены все средства в размере $12 269 900 на два адреса:
С адреса TD5w…xC4P средства были направлены еще на два адреса:
Адрес TUai…SD5f используется для разделения и пересылки средств на множество других адресов, включая депозитные адреса различных криптовалютных бирж: Binance, Bybit, HTX и т.д. (Рис.2):
Рис. 1. Список транзакций адреса TUairnLkdqc6QJCquPSbyJJgCF4jiLSD5f
В свою очередь средства с адреса TJq9…LzR4 средства были отправлены на адрес TRhowMzGbfwyQaCkn62QfKFiyCiUJ454Si.
Важно также отметить, что с адреса TQ1a…GrxK криптовалюта также направлялась на адрес TRho…54Si с использованием адреса-посредника TYk83xAhHCLiU5MCCUhPQNAvvJDtzueA4J. Исходя из оборота и анализа поведения посреднического адреса, можно предположить, что он может быть депозитным адресом некоего неидентифицированного сервиса.
С адреса TRho…54Si средства направились на три адреса:
В свою очередь с адресов TUTy…nmem и TAiP…dqvh произошло дальнейшие «распыление» криптовалюты (Рис. 2,3). А с адреса TKk3…sDa9 средства были отправлены на адрес TWvTgUZUpCtADEPoEpeF51AJEq7fvAkgy2, который, вероятно, также является депозитным адресом некоего неидентифицированного сервиса.
Важно также отметить, что с адреса TQ1a…GrxK криптовалюта также направлялась на адрес TRho…54Si с использованием адреса-посредника TYk83xAhHCLiU5MCCUhPQNAvvJDtzueA4J. Исходя из оборота и анализа поведения посреднического адреса, можно предположить, что он может быть депозитным адресом некоего неидентифицированного сервиса.
С адреса TRho…54Si средства направились на три адреса:
- TAiP9w3yTiLFZRcSZKKA2hrYgBLT18dqvh;
- TKk3rHD99Djdi3copVrpwhsYe45r2LsDa9;
- TUTyVUD9embHrAgPFpdjRzwgdQ8ue4nmem.
В свою очередь с адресов TUTy…nmem и TAiP…dqvh произошло дальнейшие «распыление» криптовалюты (Рис. 2,3). А с адреса TKk3…sDa9 средства были отправлены на адрес TWvTgUZUpCtADEPoEpeF51AJEq7fvAkgy2, который, вероятно, также является депозитным адресом некоего неидентифицированного сервиса.
Рис.2. Список транзакций адреса TUTyVUD9embHrAgPFpdjRzwgdQ8ue4nmem
Рис.3 Список транзакций адреса TAiP9w3yTiLFZRcSZKKA2hrYgBLT18dqvh
Также важно отметить, что бОльшая часть средств на адресе TXiC…DFLH поступила с адреса THgM5CcfzW8hp7LcEZp1bhrLBPW2R5kaag в размере $11 319 985.
При этом ранее средства направлялись наоборот — с адреса TXiC…DFLH на адрес THgM…kaag, что может свидетельствовать об аффилированности владельцев этих адресов, либо о том, что данными адресами владеет одно лицо.
Список транзакций адреса TXiC…DFLH выглядит следующим образом (Рис.4):
При этом ранее средства направлялись наоборот — с адреса TXiC…DFLH на адрес THgM…kaag, что может свидетельствовать об аффилированности владельцев этих адресов, либо о том, что данными адресами владеет одно лицо.
Список транзакций адреса TXiC…DFLH выглядит следующим образом (Рис.4):
Рис. 4. Список транзакций адреса TXiCFKB3mpfPcsM3Ns6Mgr2oqpCF6qDFLH
Схема вывода средств с адресов в период с 13 по 17 сентября 2023 года, выглядит следующим образом (Рис.5):
Рис. 5. Схема отправки средств с адреса TXiCFKB3mpfPcsM3Ns6Mgr2oqpCF6qDFLH
Интересным для исследования также представляется адрес TFzg…nTX5. Дело в том, что большинство средств на данный адрес поступили с адреса TR53QCrcMkt6MRat264Ko7M4fj7oGtr3uK, который принадлежит криптовалютной бирже HTX. С этого же адреса покрывались комиссионные затраты для адреса TFzg…nTX5.
Сам адрес TFzg…nTX5 перестал осуществлять транзакции с 17 сентября 2023 года. Однако, если посмотреть историю транзакций данного адреса и список адресов, с которыми он взаимодействовал, то можно заметить, что большинство контрагентов по транзакциям составляют депозитные адреса обменников, а также адреса, принадлежащие криптовалютной бирже Garantex (Рис.6).
Сам адрес TFzg…nTX5 перестал осуществлять транзакции с 17 сентября 2023 года. Однако, если посмотреть историю транзакций данного адреса и список адресов, с которыми он взаимодействовал, то можно заметить, что большинство контрагентов по транзакциям составляют депозитные адреса обменников, а также адреса, принадлежащие криптовалютной бирже Garantex (Рис.6).
Рис. 6. Схема отправки средств с адреса TFzgd4W2xChinNYRB67Aks7Ki7gatynTX5
Выводы
Исходя из анализа найденных адресов, предположительно, принадлежащих Гагику Гулакяну и Ваграму Степаняну, можно утверждать, что все средства были выведены на различные неидентифицированные сервисы, а также криптовалютные биржи.
Следует подчеркнуть, что, по нашим данным, перемещение средств на указанных адресах происходило без ведома Валерии Федякиной, и возможно, что она не имела умысла совершать преступление.
В целях введения заблуждения провайдеров блокчейн аналитики, были использованы адреса-посредники различных сервисов, где средства смешивались и затем пересылались на несколько других адресов.
Большинство средств по-прежнему двигается, и с каждым новым переводом их будет все сложнее отследить. Это обуславливается, тем, что злоумышленники используют различные методы скрытия движения средств при отправке криптовалюты. Поэтому важно продолжать их мониторинг для обнаружения.
Команда BitOK продолжит следить за развитием ситуации и готова оказать помощь жертвам этого масштабного мошенничества.
Следует подчеркнуть, что, по нашим данным, перемещение средств на указанных адресах происходило без ведома Валерии Федякиной, и возможно, что она не имела умысла совершать преступление.
В целях введения заблуждения провайдеров блокчейн аналитики, были использованы адреса-посредники различных сервисов, где средства смешивались и затем пересылались на несколько других адресов.
Большинство средств по-прежнему двигается, и с каждым новым переводом их будет все сложнее отследить. Это обуславливается, тем, что злоумышленники используют различные методы скрытия движения средств при отправке криптовалюты. Поэтому важно продолжать их мониторинг для обнаружения.
Команда BitOK продолжит следить за развитием ситуации и готова оказать помощь жертвам этого масштабного мошенничества.
ООО «Битналог», ОГРН: 1217700524084, ИНН: 9701188283
System status
All services operational
Для СМИ и партнеров:
Для вопросов и предложений:
Soon
О нас
помощь
ООО «Битналог», ОГРН: 1217700524084, ИНН: 9701188283
System status
All services operational
Для СМИ и партнеров:
Для вопросов и предложений:
Soon
О нас
помощь
Как создать иконку приложения на экране Android для быстрого запуска сайта BitOK:
Готово! Теперь ты можешь запускать наш сайт с главного экрана телефона.
Нажми на значок меню в верхней правой части экрана.
Выбери «Добавить на главный экран» и нажми «Добавить».
3.
Открой сайт BitOK в браузере Google Chrome по ссылке или QR-коду.
1.
2.
Выбери «На экран "Домой"» и нажми «Добавить».
3.
Открой сайт BitOK в браузере Safari по ссылке или QR-коду.
1.
2.
Нажми на значок «Поделиться» в нижней части экрана.
Как создать иконку приложения на экране IOS для быстрого запуска сайта BitOK:
Готово! Теперь ты можешь запускать наш сайт с главного экрана iPhone.