Кража на Phemex: Обнаружены новые перемещения похищенных средств

19 февраля часть средств, похищенных в результате январского взлома сингапурской криптовалютной биржи Phemex, вновь пришёл в движение. Это событие привлекло внимание аналитиков Global Ledger.

По данным экспертов, на 14 новых адресов было переведено более 2080 ETH (примерно $6 миллионов). В то же время, менее 4000 ETH продолжают находиться в основном Ethereum-кошельке, связанном с атакой.

Эксперты отметили запутанную последовательность транзакций и использование множества платформ и протоколов, что указывает на значительный опыт киберпреступников в области блокчейна.

К примеру, один недавно созданный криптокошелёк получил 601,34 ETH через пять отдельных перевода, прежде чем средства были объединены на другом новом адресе кроссчейн-моста Across Protocol. Далее эти средства были дополнительно запутаны при отправке на второй адрес сервиса.

Кроме того, хакеры использовали миксеры Tornado Cash и eXch для анонимизации своих активов, а также платформу Wintermute, протоколы DLN Trade и THORChain для обмена активами.

Некоторое количество похищенных средств также было переведено на кастодиальные платформы, такие как OKX и CoinEx. Однако большинство транзакций происходило через ончейн-инструменты, включая кроссчейн-сервисы Bitget и кошелёк ChangeNOW.

По данным Global Ledger, перед этой серией транзакций хакеры продолжали переводить похищенные активы на протяжении нескольких недель. В частности, был зафиксирован слив 50 BTC и 4 млн XRP.

На текущий момент Phemex уже восстановила свою торговую деятельность и обновила предостережение для клиентов, призывая не использовать старые депозитные адреса. Генеральный директор компании Федерико Вариола сообщил, что некоторые из биржевых средств будут переведены в холодное хранилище в рамках мер по «всеобъемлющему обновлению безопасности».

Напоминаем, что 23 января аналитики Cyvers Alerts выявили «множественные подозрительные транзакции», происходившие через горячие кошельки Phemex. Впоследствии выяснилось, что атака включала более 275 транзакций только с использованием EVM-цепочек.

Согласно последним оценкам, общие убытки от инцидента составляют $85 миллионов. Эксперты выдвинули гипотезу о причастности к произошедшему хакеров, связанных с КНДР.