Кит, хакерская атака и психологическое потрясение, обрушившееся на HEX

Бывалый крипто-кит, известный как «HEX 19», потерял почти 4,5 миллиона долларов в результате медленного взлома, который за несколько лет опустошил его запасы HEX (HEX). 

Сначала казалось, что HEX-кит выводит деньги. Но прошло совсем немного времени, прежде чем сообщество осознало, что он не по своей воле снял свои токены - он стал жертвой крупного эксплойта.

Кибератака началась в ноябре 2021 года, затронула несколько фишинговых кошельков и была прослежена до онлайн-объекта, известного как «Konpyl», участника угроз, знакомого исследователям криптовалют.

Взлом не только пошатнул цену токена, но и выявил сеть мошеннических операций, связанных с Inferno Drainer, и аферу с фальшивым Rabby Wallet стоимостью 1,6 миллиона долларов в феврале 2024 года.

Рисунок 1. Цена токена HEX падает после взлома HEX19. Источник: CoinGecko.

Хакеры HEX и паутина связей

Исследователь блокчейна, который говорил на условиях анонимности, сказал:

«Существует прямая связь с контрагентами с кошельками, используемыми в мошенничестве с поддельными приложениями Rabby, а также с тем, что средства жертвы HEX19 поступают непосредственно на кошельки, используемые для отмывания незаконных доходов от фишинга Inferno Drainer».

Первая крупная волна оттока средств из кошелька жертвы произошла в ноябре 2021 года и продолжалась на протяжении многих лет, поскольку активы, заблокированные на десятилетние сроки, продолжали разблокироваться, некоторые из них были преждевременно закрыты хакером со штрафными санкциями.

Рисунок 2. 21 ноября кошелек HEX19 потерял почти 4 миллиона долларов. Источник: Arkham Intelligence.

Чем глубже следователи копались в кошельках, связанных со взломом HEX19, тем яснее становилось, что это не было единичным случаем для хакера. Одни и те же адреса снова и снова появлялись в фишинговых кампаниях, в целях хищения кошельков и отмывания денег.

Кошельки, используемые хакером, взломавшим HEX19, мошенниками с поддельными кошельками Rabby и несколькими схемами, связанными с Inferno Drainer, имеют общий адрес: Konpyl.

В ходе расследования, проведенного в октябре 2024 года, журнал проанализировал доказательства, собранные следователем и правительственным агентством США, которые связывают Konpyl с Константином Пылинским, руководителем инвестиционной компании из Дубая, который использует это прозвище в своей онлайн-деятельности. Пылинский отрицал какую-либо причастность к мошенничеству.

По словам следователя, атака на HEX19 стала возможной потому, что жертва сохранила исходные фразы в облаке. Записи транзакций показывают, что хакеры используют средства жертв для первоначальных переводов на свои незаконные счета, что является общей чертой схем, связанных с Konpyl. 

«Хакер, взломавший HEX19, следует схемам, схожим с другими мошенничествами Konpyl», - сказали они.

В отчете, опубликованном в ноябре 2024 года, было сказано, что кошельки, привязанные к Konpyl, часто взаимодействовали с мошенниками, связанными с Inferno Drainer, разработчиком угроз «мошенничество как услуга».

Специалист по судебной экспертизе и руководитель расследований в страховочной криптовалютной компании Fairside Network под ником Fantasy рассказал, что Konpyl, возможно, действует не столько как прямой злоумышленник, сколько как посредник в отмывании денег.

Внутри взлома HEX

Первая партия средств начала выводиться из кошелька 21 ноября 2021 года, но записи блокчейна показывают, что кошелек, возможно, был взломан еще 3 ноября, поскольку с кошелька жертвы (0x97E...7a7df) произошел отток средств на один из кошельков хакера.

Рисунок 3.

1. 21 ноября с HEX19 было слито почти 4 миллиона долларов в ходе девяти отдельных транзакций. Большая часть потерь пришлась на токены HEX. Основным местом назначения был адрес 0xcfe…8A11D, который мы будем называть HEX Hacker 1 (HH1).
2. В тот же день HH1 начал разделять украденные средства. Они отправили 2,64 миллиона долларов (12,33 миллиона HEX) на второй кошелек, 0xA30…2EA17, или HEX Hacker 2 (HH2).
3. Последующая транзакция 10 декабря 2021 года отправила еще 616 700 HEX (стоимостью на тот момент около 86 700 долларов) с HH1 на HH2.
4. 18 февраля 2022 года HH1 перевел 5,2 миллиона HEX (на тот момент это было около 1 миллиона долларов США) и немного ETH на еще один адрес, 0x719a...4Bd0c, где средства хранятся и по сей день.

Рисунок 4.

HH2 Wallet, по-видимому, играет ключевую роль в борьбе с отмыванием денег.

1. С декабря 2021 по март 2022 года HH2 отправил более 1 миллиона долларов на Tornado Cash, самый известный протокол анонимизации Ethereum.
2. HH2 также перевел 106 758 долларов в Dai на промежуточный кошелек 0x837...2Ba9B, который использовался для взаимодействия с платформами децентрализованного финансирования (DeFi), такими как 1inch, для дальнейшего сокрытия или обмена средств.
3. Посредник взаимодействовал с 0x7BF...C4eAa, кошельком, который получал прямые поступления от Konpyl (онлайн-персоны, которая фигурировала в многочисленных фишинговых и сливных операциях).
4. Сеть отмывания денег HH2 также пересекается с кошельком высокого риска - 0x909...e4371, который был отмечен за более чем 70 подозрительных транзакций.

Рисунок 5.

1. 16 мая 2024 года третий кошелек, Hex Hacker (HH3) - 0xdCe...4f0d8 - начал вывод средств со скомпрометированного адреса HEX19.
2. HH3 получил около 108 000 долларов в виде HEX со счета жертвы. 
3. HH3 связан с 0x87B...53d92, адресом, который ранее был идентифицирован в ноябрьском расследовании как часть мошенничества, связанного с Inferno Drainer. Этот же кошелек имеет общий адрес (0xF2F...6a608) с Konpyl, что связывает мошенничество, связанное с Inferno в марте 2024 года, и инцидент с фишингом Rabby wallet.

Наконец, появился четвертый кошелек, 0x7cc...59ee2 - HEX Hacker 4 (HH4). Начиная с 12 января 2024 года, HH4 начал выводить средства с кошелька HEX19 на протяжении марта.

Этот кошелек взаимодействовал с 0x4E9...c71C2, который является известным адресом, используемым мошенником с поддельным Rabby Wallet.

Уроки, извлеченные из взлома HEX19

HEX19, технический ветеран на пенсии, и раньше переживал взлеты и падения, но не такие, которые за один день выводили миллионы долларов из его цифрового кошелька.

Он подал заявления в полицию, и биржи не смогли сделать многого, сказал он. Оставшиеся средства, включая заблокированные на 10 лет HEX, стали бомбами замедленного действия. Он знал, что у хакеров был доступ, и они просто ждали, чтобы вытащить больше.

Журнал обнаружил по меньшей мере 180 подозрительных транзакций с ноября 2021 по октябрь 2024 года на общую сумму более 4,5 миллионов долларов. В кошельке жертвы по-прежнему остается девять активных позиций стекинга, хотя их стоимость не так значительна, как у тех, которые были преждевременно закрыты и изъяты ворами.

Рисунок 6. Активные позиции стекинга не так ценны, как те, которые были закрыты хакерами. Источник: HEXscout.

«У вас возникает такое чувство внизу живота, и вы говорите: «Боже мой». А потом вы говорите: «О, боже, я должен сказать своей семье, что я снова облажался», - сказал HEX19, предположительно пенсионер в возрасте 80 лет, в интервью вскоре после случившегося.

Несмотря на потерю, HEX19 сохраняет удивительное спокойствие:

«Мы на пенсии. Живем без долгов и очень просто. У нас отличная семья, замечательные дочери, внучки, - сказал он в интервью для сообщества 2021 года. - В жизни есть нечто большее, чем деньги».

Хотя он и не надеется вернуть свои средства, он полагает, что его опыт поможет другим дважды подумать, прежде чем хранить свои исходные фразы в Интернете.