Популярный криптоаналитик и исследователь блокчейна ZachXBT выпустил новое расследование, посвященное краже $15,9 млн с контракта Coinbase Commerce в апреле 2024 года. Инцидент произошел в сети Polygon, а средства были быстро переведены на Ethereum и распределены между несколькими адресами. Самое интересное то, что позже злоумышленник начал хвастаться украденным в Telegram-чатах.
Как произошел взлом
21 апреля в контракте Coinbase Commerce на Polygon было зафиксировано более 1700 транзакций USDC за 16 часов, общая сумма которых составила почти $16 млн. Средства были переведены на Ethereum, конвертированы в ETH и распределены между тремя адресами.
- 0xd467e8134314d66d685bd3e6da8901b8683028ae
- 0x42ab2e5b91fcdba8aa00b710ad01a249d5082445
- 0xa3e083422ee587ff20c91d814baade85856861b6
Следы злоумышленника
После хищения средств злоумышленник ушел с радаров, но в мае 2024 года некий пользователь с ником «tezedasads12» начал активно упоминать украденные средства в Telegram. Кроме того, он начал совершать транзакции в 1 DAI для доказательства владения одним из вышеуказанных адресов, на котором на тот момент находилось $6 млн. Он также пытался приобрести уникальное имя в Telegram, но его предложение отклонили.
Злоумышленник также утверждал, что является владельцем Instagram-аккаунта Excite в Instagram. Интересно то, что в профиле, который позже стал публичным, были обнаружены фотографии дорогих часов. OSINT-данные указывают на возможное местоположение подозреваемого в Дании.
По информации ZachXBT, хоть большая часть украденных средств остается нетронутой, некоторая их часть была отправлена на платформы eXch и Stake через децентрализованные обменники. Эти переводы сопровождались использованием новых адресов для сокрытия источника средств. Один из адресов также показал связь с клиентом, связанным с так называемыми дрейнерами — программные комплексы для быстрого и автоматического опустошения криптокошелька.
Вопросы к безопасности Coinbase
Несмотря на явные признаки подозрительной активности, механизм мониторинга Coinbase не выявил проблему вовремя. ZachXBT задается вопросом, почему антиотмывочная система (AML) компании не сработала в течение 16 часов, что позволило злоумышленникам вывести миллионы.
На данный момент личность пострадавшей стороны остается неизвестной, однако, по мнению аналитика, собранные улики дают основания для потенциального судебного преследования. Он также предполагает, что злоумышленники действовали группой, учитывая разделение украденных средств между тремя адресами.
Полное расследование ZachXBT с подробностями транзакций и действиями злоумышленника доступно в его блоге.
Ранее: ZachXBT раскрыл схему мемкоин-мошенничества бывшего игрока Fortnite
