Популярность криптовалют и лежащей в их основе технологии блокчейна постоянно растет, а вместе с этим повышается и количество атак злоумышленников. Как результат, возникает потребность в инструменте для отслеживания противоправных действий в блокчейне. На сегодняшний день одним из наиболее эффективных продуктов, позволяющих вычислить отправителя и получателя транзакции является инструмент Crystal.
Crystal обладает широким спектром функций, обеспечивающих максимально эффективное проведение расследований в блокчейне. Этот инструмент не только помогает установить адреса кошельков отправителя и получателя, но и связывает их с субъектами реального мира. Ниже представлен яркий пример работы инструмента Crystal – расследование атаки на криптобиржу Zaif.
Расследование атаки на биржу Zaif (14.09.2018)В этом отчете предоставлены результаты расследования (на момент 22 октября 2018 года), проведенного аналитиками Crystal. Расследовались движения средств, выведенных с биржи Zaif во время ее взлома в сентябре 2018 года.
Основные тезисы на момент расследования:
- 30% украденных биткоинов все еще находится на адресах хакеров.
- 24% украденных биткоинов были отправлена на биржу Binance через серию мелких транзакций. Скорее всего вскоре средства были выведены либо переведены на другие биржи.
- оставшиеся биткоины были разделены на относительно небольшие суммы. Адреса, принадлежащие неизвестным владельцам взяты на мониторинг.
Резюме
17 сентября 2018г. биржа Zaif приостановила депозиты и вывод средств в BTC, BCH и MONA. 18 сентября биржа сообщила полиции о взломе и краже средств. Ниже представлены факты из пресс-релиза:
- Несанкционированный доступ был осуществлен 14 сентября 2018 г. между 5 и 7ч. вечера по местному времени (8 и 10 ч. утра по времени UTC)
- Хакеры успешно перевели 5966 BTC и неизвестное количество BCH и MONA.
- 17 сентября был зафиксирован сбой в работе сервера, 18 сентября повреждение подтвердилось.
Расследование аналитиков Crystal
Команда аналитиков Crystal расследовала взлом, сосредоточившись на движениях украденных биткоинов. Этапы расследования описываются ниже.
Шаг 1: Определение адреса хакера
Прежде всего, необходимо было найти транзакции с украденными средствами. Зная точное время кражи, мы начали расследование с проверки наиболее крупных транзакций, совершенных с 7 до 11 часов утра по времени UTC (мы увеличили временной период, чтобы охватить все представляющие интерес транзакции). Вскоре после этого мы обнаружили подозрительную транзакцию, сумма выходов которой была сравнима с количеством украденных монет.
Шаг 1: Определение адреса хакера
Прежде всего, необходимо было найти транзакции с украденными средствами. Зная точное время кражи, мы начали расследование с проверки наиболее крупных транзакций, совершенных с 7 до 11 часов утра по времени UTC (мы увеличили временной период, чтобы охватить все представляющие интерес транзакции). Вскоре после этого мы обнаружили подозрительную транзакцию, сумма выходов которой была сравнима с количеством украденных монет.
Рис.1 Подозрительная транзакция в блоке
Идентификатор транзакции c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280
Эта транзакция содержит 131 вход. При помощи Crystal мы определили, что каждый из входов транзакции принадлежит Zaif. Адрес выхода - 1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w.
Рис.1 Подозрительная транзакция в блоке
Идентификатор транзакции c3b9a4a0831a65523c81e6a04f6ddf5a7a89f344d990e8a13e5278efe57f4280
Эта транзакция содержит 131 вход. При помощи Crystal мы определили, что каждый из входов транзакции принадлежит Zaif. Адрес выхода - 1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w.
Рис.2 Перевод средств с кошельков Zaif на адрес хакера
Как видно на рисунке выше, все входные транзакции отправлены с Zaif и направляют все украденные средства на один адрес.
Рис.2 Перевод средств с кошельков Zaif на адрес хакера
Как видно на рисунке выше, все входные транзакции отправлены с Zaif и направляют все украденные средства на один адрес.
Шаг 2: Отслеживание украденных средств
После того, как мы определили адрес хакера, мы начали его мониторинг. Нашей целью было определение адресов или известных субъектов, получивших украденные средства от хакера. Для этого мы использовали инструмент Tracking.
Адрес 1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w содержит 9 исходящих транзакций, таким образом, отслеживание применялось для каждой из них.
Проведя вычисления, мы нашли 5109 адресов, получивших часть украденных средств. Далее мы провели сортировку и определили адреса, контролирующие большую часть средств, а также субъектов реального мира, получивших украденные биткоины.
Результаты
Последнее обновление отслеживания состоялось 22 октября, именно тогда были получены представленные ниже результаты.
Согласно результатам отслеживания, существенная часть (30% всей суммы) осела на двух биткоин-адресах:
-
3MyE8PRRitpLxy54chtf9pdpjf5NZgTfbZ – 1 007,6 BTC осело на адресе.
-
3EGDAa9rRNhxnhRzpyRmawYtcYg1jP8qb7 – 754,5 BTC осело на адресе.
Эти адреса получили биткоины при помощи очень короткой цепочки транзакций (в среднем длиной в 3 транзакции) и вероятнее всего принадлежат хакеру. В будущем они будут мониториться с использованием Cointify.
Значительная часть средств (1 451,7 BTC или 24%) была отправлена на биржу Binance серией небольших транзакций. Это можно увидеть на представленной визуализации отслеживания:
Шаг 2: Отслеживание украденных средств
После того, как мы определили адрес хакера, мы начали его мониторинг. Нашей целью было определение адресов или известных субъектов, получивших украденные средства от хакера. Для этого мы использовали инструмент Tracking.
Адрес 1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w содержит 9 исходящих транзакций, таким образом, отслеживание применялось для каждой из них.
Проведя вычисления, мы нашли 5109 адресов, получивших часть украденных средств. Далее мы провели сортировку и определили адреса, контролирующие большую часть средств, а также субъектов реального мира, получивших украденные биткоины.
Результаты
Последнее обновление отслеживания состоялось 22 октября, именно тогда были получены представленные ниже результаты.
Согласно результатам отслеживания, существенная часть (30% всей суммы) осела на двух биткоин-адресах:
-
3MyE8PRRitpLxy54chtf9pdpjf5NZgTfbZ – 1 007,6 BTC осело на адресе.
-
3EGDAa9rRNhxnhRzpyRmawYtcYg1jP8qb7 – 754,5 BTC осело на адресе.
Эти адреса получили биткоины при помощи очень короткой цепочки транзакций (в среднем длиной в 3 транзакции) и вероятнее всего принадлежат хакеру. В будущем они будут мониториться с использованием Cointify.
Значительная часть средств (1 451,7 BTC или 24%) была отправлена на биржу Binance серией небольших транзакций. Это можно увидеть на представленной визуализации отслеживания:
Рис.3 Депозиты Binance
На этом рисунке можно наблюдать потоки средств на адрес Binance 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s (обозначен цифрой 2 на рис.3).
Ранее Binance подтвердила, что является владельцем данного адреса в своем официальном Twitter-аккаунте.
Binance разрешает пользователям вывод средств в сумме до 2 BTC без прохождения процесса KYC/AML, поэтому среднее количество средств, отправленных на каждый адрес для депозитов Binance, составляло 1,99-2 BTC (возможные депозитные адреса обозначены цифрой 1 на рис.3). Ниже представлен пример транзакции на Binance:
Рис.3 Депозиты Binance
На этом рисунке можно наблюдать потоки средств на адрес Binance 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s (обозначен цифрой 2 на рис.3).
Ранее Binance подтвердила, что является владельцем данного адреса в своем официальном Twitter-аккаунте.
Binance разрешает пользователям вывод средств в сумме до 2 BTC без прохождения процесса KYC/AML, поэтому среднее количество средств, отправленных на каждый адрес для депозитов Binance, составляло 1,99-2 BTC (возможные депозитные адреса обозначены цифрой 1 на рис.3). Ниже представлен пример транзакции на Binance:
Рис.4 Визуализация денежного потока на адрес Binance
Часть биткоинов была отправлена на миксинговый сервис ChipMixer.com при помощи довольно короткой цепочки транзакций. На ChipMixer.com было отправлено около 60 BTC. Транзакция на ChipMixer.com представлена на рисунке ниже.
Рис.4 Визуализация денежного потока на адрес Binance
Часть биткоинов была отправлена на миксинговый сервис ChipMixer.com при помощи довольно короткой цепочки транзакций. На ChipMixer.com было отправлено около 60 BTC. Транзакция на ChipMixer.com представлена на рисунке ниже.
Рис.5 Визуализация денежного потока на ChipMixer.com
Оставшиеся биткоины были разделены на относительно небольшие суммы. Около 13 BTC было отправлено на разные адреса биржи Huobi. Часть биткоинов поступила на биржи BTCBox.com, Bitstamp и Livecoin. Другие части были отправлены на миксинговые/гэмблинговые сервисы наподобие CoinGaming.io и Bitcoin Fog. Однако для этого использовалась достаточно длинная цепочка транзакций.
Остаток средств остался лежать на адресах неизвестного владельца, мы продолжим их мониторинг в будущем.
Рис.5 Визуализация денежного потока на ChipMixer.com
Оставшиеся биткоины были разделены на относительно небольшие суммы. Около 13 BTC было отправлено на разные адреса биржи Huobi. Часть биткоинов поступила на биржи BTCBox.com, Bitstamp и Livecoin. Другие части были отправлены на миксинговые/гэмблинговые сервисы наподобие CoinGaming.io и Bitcoin Fog. Однако для этого использовалась достаточно длинная цепочка транзакций.
Остаток средств остался лежать на адресах неизвестного владельца, мы продолжим их мониторинг в будущем.