" Крупные криптовалютные компании, такие как Inferno и Pink, в этом году попали в заголовки газет, объявив о своем закрытии, но жертвы продолжают терять ошеломляющие суммы.
Крипто-сливщики (дрейнеры), как правило, обманом заставляют пользователя подключить кошелек и одобрить транзакцию, которая выводит средства пользователя.
По данным Scam Sniffer, из-за фишинговых схем в октябре было потеряно более 20 миллионов долларов. Хотя объем операций за месяц снизился на 56% по сравнению с сентябрем, число жертв - 12 058 - выросло на 20% по сравнению с предыдущим месяцем.
Алекс Кац, генеральный директор и соучредитель плагина для обеспечения безопасности интернет-браузера Kerberus, рассказал, что объем утечек может меняться от месяца к месяцу в зависимости от рыночных условий, но растущее число жертв вызывает тревогу.
Тем временем правоохранительные органы и компании, которые занимаются кибербезопасностью, все лучше справляются с поимкой киберпреступников.
«Мы считаем, что дрейнеры закрываются потому, что они слишком много зарабатывают. Если они продолжат, то это только вопрос времени, когда правоохранительные органы найдут их или сообщников», - сказал Кац, основатель MistTrack.
Например, Tether, крупнейший в мире эмитент стейблкоинов, недавно заморозил по меньшей мере три кошелька, связанных с операциями дрейнеров.
Tether не ответила на запрос о комментариях, но частный детектив, который работает с властями над случаями утечки криптовалют, сообщил, что те три кошелька были заморожены по запросу правоохранительных органов.
Следователь сотрудничает с властями, чтобы отследить подозрительную организацию, известную как Konpyl. Недавнее расследование, проведенное журналом, связало Konpyl и связанные с ним кошельки с мошенничеством с поддельными кошельками Rabby, в результате которого жертвы лишились около 1,6 миллиона долларов.
Доказательства, которые были рассмотрены в ходе расследования, выявили связи между онлайн-персоной Konpyl и генеральным директором криптовалюты из Дубая, который отрицал какие-либо правонарушения и утверждал, что стал жертвой шантажа.
Последние три аккаунта, замороженные Tether, содержат ссылки не только на кошельки дрейнеров, но и на Konpyl.
Рисунок 1. Адреса USDT, внесенные в черный список, связаны с криптодрейнерами и Konpyl. Источник: USDT Blacklist.
«По крайней мере, Konpyl является крупным клиентом дрейнера, - сказал исследователь. - Konpyl в основном использует Inferno Drainer, но также экспериментировал с Pink Drainer», - сказал исследователь.
Ведущие хакеры отключаются от сети
Крипто-хакеры часто используют уязвимости в смарт-контрактах, фишинговые атаки или методы социальной инженерии для получения доступа к кошелькам.
Они создаются разработчиками, которые продают доступ незаконным субъектам, позволяя им совершать эксплойты и последующие кражи в обмен на вознаграждение. Эта модель стала известна как модель «мошенничество как услуга».
«Вам нужно изменить свое мнение о том, что операции дрейнера - это бизнес, - сказал Кац. - Если вы действительно посмотрите на них, то увидите, что большой процент идет тому, кто установил систему, потому что он берет комиссионные».
На протяжении многих лет эти программные инструменты продавались под собственными брендами, а популярность таких сервисов, как Inferno, Pink и Monkey Drainer, постоянно росла.
Эти три компании - не единственные в мире, но у них есть общая черта. Все они объявили о прекращении работы, Inferno отключилась последней в октябре. Inferno заявила, что ее услугами занимается Angel Drainer.
Рисунок 2. 19 октября компания Inferno Drainer объявила, что ее услуги перешли к Angel Drainer. Источник: Scam Sniffer.
Компания Monkey Drainer была одной из первых, кто начал использовать модель SaaS для слива криптовалюты. Она закрылась в марте 2023 года, после чего появилась следующая партия систем-сливщиков, в том числе Inferno и Pink.
Pink Drainer, как утверждается, был разработан бывшим сотрудником службы безопасности, который помогал бороться с Monkey Drainer, а затем перешел на темную сторону. Pink Drainer объявила о своем уходе в мае 2024 года, после того как собрала около 85 миллионов долларов от более чем 21 000 жертв.
Inferno были неактивны после объявления о своем уходе в ноябре 2023 года, но вновь появились после ухода Pink со сцены.
О последнем закрытии Inferno было объявлено через несколько дней после того, как 16 октября Tether заморозил три кошелька, в тот же день было опубликовано расследование о Konpyl и поддельном Rabby Wallet.
Связь между Inferno и Konpyl
Данные ончейн свидетельствуют о взаимосвязи между учетными записями, связанными с Konpyl, и учетными записями, связанными с Inferno, хотя эксперты по безопасности по-разному проанализировали конкретные моменты.
Одним из примеров взаимоотношений в блокчейне является инцидент со сливом средств в марте 2024 года, когда жертва потеряла 4,39 миллиона долларов в криптовалютах из-за крипто-вора, оснащенного набором дрейнеров Inferno.
Рисунок 3. Сообщество безопасности выявляет атаку, связанную с дрейнерами Inferno, а также используемые незаконные кошельки. Источник: Scam Sniffer.
Некоторые из украденных токенов были сожжены с помощью блокчейн-детектива ZachXBT, но другие были объединены и отправлены в 0x344...12ac3, который, как подозревает охранная фирма MistTrack, принадлежит Inferno Drainer. Здесь около 767 610 долларов в виде Ethereum, завернутого в протокол CoW платформы DeFi.
На другом конце эта сумма поступает на 0x87B...A53d92 (вывод CoW) в Tether (USDT).
Рисунок 4. Анализ MistTracks продемонстрировал консолидацию незаконных средств. Источник: Mist Tracks.
Из этого выходного адреса CoW можно вывести связь с Konpyl.
Выходной адрес содержит три транзакции с 0xF2F...6a608: дважды в августе 2022 года, и один раз в мае 2024 года. Первая из трех транзакций - это транзакция пополнения этого кошелька 0xF2F или первый зарегистрированный перевод на этот счет.
0xF2F привязан к учетной записи, связанной с Konpyl, посредством семи транзакций, начиная с октября 2023 года, на общую сумму около полумиллиона долларов, что делает кошелек 0xF2F мостом, соединяющим схему, связанную с Inferno Drainer в марте 2024 года, и организацию, связанную с инцидентом с поддельным кошельком Rabby в 2024 году в этом примере.
Анализ движения средств
По словам частного детектива, эти перемещения позволяют предположить, что организация, известная как Konpyl, может быть крупным пользователем Inferno Drainer или иметь еще более серьезное отношение к этому.
Тем не менее, Fantasy, ведущий расследование в крипто-страховой компании Fairside Network, придерживается другой точки зрения.
В Fantasy сообщили, что также возможно, что ни один из кошельков, идентифицированных до входа в протокол CoW, на самом деле не принадлежит Inferno Drainer. Скорее всего, все кошельки могут принадлежать клиентам Inferno Drainer.
«Клиент Inferno не стал бы добровольно отказываться от большей части краж. Более вероятным объяснением является то, что этот клиент консолидирует доходы от кражи», - сказал он, указывая на транзакции, которые показывают, что плата за вывод средств была выплачена на отдельный кошелек.
Рисунок 5. Сборы, уплаченные Inferno, предполагают, что последующее перемещение может быть произведено клиентом Inferno. Источник: Etherscan.
Fantasy также представила альтернативное объяснение, почему Konpyl может быть связан с эксплойтами.
«Интересно, не является ли он внебиржевым трейдером и не используют ли его злоумышленники для отмывания денег. Это может привести к объяснению того, почему акции Konpyl Rhino консолидируются таким образом», - предположила Fantasy, анализируя движения Konpyl по блокчейну, которые были обобщены в октябрьском исследовании журнала.
«Сокрытие движений с помощью внебиржевых трейдеров - не такая уж редкая тактика. Обычно трейдерам такого типа все равно, откуда берутся средства, лишь бы они получали свое вознаграждение».
Правоохранительные органы и эксперты устраняют пробел в области безопасности
Тем временем, Фанг, основатель Scam Sniffer, рассказал, что постоянные вклады таких организаций, как Mist Track, Scam Sniffer и группа безопасности SEAL 911, способствуют внесению незаконных адресов в черный список.
Рисунок 6. Охранная фирма Blockaid интересуется, готовится ли дрейнер к завершению операции. Источник: Blockaid.
Также существуют расширения для интернет-браузеров, такие как Cerberus, в то время как кошельки все чаще интегрируют сервисы безопасности пользователей, такие как Blockaid.
«Для их безопасности закрытие было неизбежным, - сказал Фанг. - Будь то Inferno Drainer или Pink Drainer, это всего лишь сервисы, которыми пользуются мошенники. Настоящие преступники скрываются за названиями этих компаний».
Тем не менее, Кац из Kerberus предупреждает, что к остановкам в мире криптодрайнеров следует отнестись со всей серьезностью, поскольку они могут вернуться и вновь сеять хаос.
«Они могут сказать, что закрываются из-за того, что охранные компании ослабляют бдительность. Но, в конце концов, они могут провести ребрендинг под новым названием и вернуться, - сказал Кац. - Это преступники - давайте внесем ясность. Преступникам нельзя доверять, что бы они ни говорили.
