Кража 240к долларов.Расследование
Written by Mumpee(он же Санек)
Disclaimer:
Аматорский перевод треда ZachXBT, исключительно для ознакомления и не несет в себе рекомендаций, финансовых или же других.
Предистория
18 Апреля 01:30 у твиттер инфлюенсера Fxnction из кошелька было уведено 2349 $SOL
Кошелек C2ihGhv13M7Apq9iPzsUKmcqo3v6uTQmKCnqe79UC6QP был взломан, комментарии жертвы:
•Использовал ли я этот кошелек для минта?
Нет, с октября не использовал, также был отключен доступ ко всем случайным сайтам
•Была ли взломана сид-фраза?
Нет, сид фраза никогда не была в сети.
•Взломали ли другие кошельки, подключенные к этой же сид-фразе? Нет, пострадал единственный кошелек
Сид-фраза, она же мнемоническая фраза может хранить в себе множество кошельков, при ее получении дает доступ ко всем
Приватный ключ же дает доступ только к одному определенному кошельку
•Так что же случилось?
По моим догадкам старый сайт, который использовался для минта в Октябре, имел доступ к кошельку даже после отключения, так как в тот момент каждая секунда была важна и использовался авто-аппрув
Авто-аппрув - способ автоматического принятия транзакций для ускорения этого процесса
На этом моменте автор и его читатели начали отмечать @ZachXBT, "2д детектива", как он сам себя называет.
Тут уже начинается его расследование.
После чего были переведены на Wormhole bridge
Wormhole - мост между сетями, в частности Солана - EVM сети
EVM cети - блокчейны, берущие за основу эфир(MATIC, AVAX, BSC)
После этого хакер обменял средства на 40 ETH и 102000 DAI и депозитнул их на Tornado
Tornado cash - децентрализованный сервис, позволяющий осуществить частные(анонимные) транзакции в блокчейне.
Осуществляется это с помощью того что смарт - контракт принимает депозиты от одного адреса, а отправляет с другого, как мы увидим не такой уж и анонимный...
Через пару минут автор находит адрес, с которого вывели такое же кол-во ETH и DAI
После этого финансы были обменены на USDC, после этого хакер получает эфир из ChangeNow.io и переводить 50к на LocalCoinSwap(обменники),
После этого автор связался с обменниками, для первого было слишком поздно, но у LocalCoinSwap средства были у гаранта!
После предоставления всех доказательств средства были заморожены на аккаунте гаранта, на этот момент удалось остановить от потери 50к/240к, что уже неплохо!
Странным образом переводы были связаны с аккаунтом 0xf8, чей же этот кошелек?
Кошелек же напрямую связан с @CryptoNoah ,кто же это такой?
Это инфлюенсер, который заработал около 29 миллионов долларов пампом и дампом мемных монет, в частности семизначные заработки на монете $SAITAMA
Он держал около 3% всех монет и делал Bullish посты, в то же время сливая монет на сотни тысяч долларов каждый день
Bullish - посты, убеждающие читателя в том что актив вырастет по каким-либо причинам
В сумме Ноа со своего кошелька отправил криптовалюты на сумму около 4.1 миллиона долларов на кошелек 0x7e, а этот кошелек отправил около 460к тысяч долларов на 0xf8, он же адрес хакера
Это означает:
•Ноа лично знает хакера, так как отправляет тому абсурдно большие суммы
После этого, конечно же, автор поста начал писать Ноа в лс, на что получил игнор, а жертва лично позвонила ему, после упоминания кошелька Ноа сбросил...
Так как есть прямые доказательства, то на этом моменте автор подключает FBI
(Да, та самая федеральная служба безопасности!!!)
Позже Ноа утверждал в лс что эти 460к, переведенные скамеру, были также скамом, Ноа пытался инвестировать в склад для Амазона и был также заскамлен, но репортов, переписок или чего-либо в роли доказательства не подал.
Позже автор нашел еще больше связей, хакер и Ноа отправляли средства на один кошелек бинанса
На этом автор закрывает расследование и дальше за следство уже возьмется ФБР, что же будет дальше...