Как опытный аналитик по кибербезопасности с более чем десятилетним опытом расследования и анализа взломов криптовалют, я нахожу тему ZachXBT о взломе WazirX одновременно интригующей и тревожной. Уровень детализации, представленный в теме, впечатляет, и кажется, что ZachXBT не оставил камня на камне в своем расследовании.
Как аналитик по безопасности, я внимательно следил за недавней кибератакой на WazirX, индийскую биржу криптовалют, которая привела к значительным потерям в размере примерно 234,9 миллиона долларов. Примечательные выводы позволяют предположить, что к этому взлому может быть причастна Lazarus Group, киберпреступная организация, имеющая, как сообщается, связи с Северной Кореей.
Как криптоаналитик, я недавно сделал открытие относительно серьезного нарушения безопасности, произошедшего в WazirX. Я объявил о своих выводах по X и обвинил группу «Лазарь» в нападении. По данным моего расследования, эта киберпреступная организация связана с северокорейскими хакерами.
Я проследил по следам взлома WazirX стоимостью более 230 миллионов долларов до его источника и по пути обнаружил некоторые интригующие сведения.
— ZachXBT (@zachxbt) 18 июля 2024 г.
На основе обсуждения в данной теме указывается, что подозреваемые хакеры начали атаку 10 июля. В течение этого периода они проводили пробные транзакции монет сиба-ину (SHIB) между кошельками «0x6ee» и «0x09b» с использованием адреса с мультиподписью. Эти эксперименты были финансово поддержаны шестью отдельными транзакциями по 0,1 эфира каждая от Tornado Cash, сервиса по обфускации криптовалют.
ZachXBT утверждает, что шесть выводов по 0,1 ETH из Tornado Cash 10 июля могут быть связаны с депозитами, сделанными накануне. Это было установлено путем детального изучения транзакций с адреса «0xc6873ce725229099caf5ac6078f30f48ec6c7e2e».
9 июля точность отслеживания токена SHIB была подтверждена с помощью подтверждающих тестов с использованием мультиподписного кошелька с меткой «0x304».
8 июля в 15:03 по всемирному координированному времени адрес Ethereum «0xc68» получил 1 ETH от Tornado Cash. Эту транзакцию можно отследить до депозита, сделанного девятью часами ранее с адреса «0xe3b4cf64e0fc25fafb10d226984b18addc038879ed77f730abbed4737db6a5fc».
9 июля криптовалютные адреса «0xc687» и «0xc891» обменялись средствами друг с другом. Это действие ослабляет защиту конфиденциальности Tornado Cash, поскольку устанавливает прослеживаемые связи между транзакциями.
Оглядываясь назад на запись транзакции, мы обнаруживаем, что «0xc891» получил 0,36 ETH и 0,66 ETH в двух отдельных транзакциях 8 июля. Эти транзакции исходили со следующих адресов:
0xc2fdc27f98cf02c2da2a180fa35824dc365c63795e7a7ce12ba88c1e06edd4f7
0xa62685d8a8b39920e957e0aaf56d527aec6d6 5bc9323d3d219e11f44e150e224
Следовательно, эти транзакции финансировали адрес «0xc891».
Анализ времени показывает, что транзакции происходили с биткойн-адресов «53795dd1629026c2f92a87d5cd2447736f1afc9cae71262f3af9e62a4ac83b92» и «ddfd189125ce88c622ec2453b2e9f2dbe5c5c0931f16e3389». eac4976c757e5b9′. Проще говоря, эти транзакции происходили с указанных биткойн-адресов.
Транзакции с биткойнами раскрывают более сложные отношения между различными валютами. По данным ZachXBT, похоже, что средства Биткойна происходят из нераскрытого источника, что затрудняет отслеживание следа. Однако он твердо уверен, что взлом WazirX может быть связан с Lazarus Group, исходя из прошлых событий.
ZachXBT обнаружил депозит, связанный с хакером WazirX, который был идентифицирован на бирже KYC, но это открытие не может существенно помочь основателям WazirX, поскольку такие депозиты можно получить онлайн на различных биржах. Способ, с помощью которого инвесторы смогут вернуть свои потерянные средства, еще не выяснен, поскольку они продолжают ждать дополнительной информации от WazirX.
Смотрите также
2024-07-18 17:40