Хакерская атака на DeFi-протокол «Nexera»

В современном мире мошенничество - серьезная угроза обычному человеку или компании, это обусловлено тем, что постоянное развитие технологий способствует развитию преступных схем. Единственным проверенным способом защитить себя от мошенничества всегда остается только собственная внимательность и осторожность, а также осведомленность о подобных ситуациях как в рассматриваемом инциденте.

Необходимость думать, как мошенник максимально рациональное решение в борьбе с такого рода преступлениями. Подобная деятельность позволяет понять: мотивацию, возможные методы, схемы и шаги злоумышленника, проанализировать и отталкиваясь от итогов огородить себя от подозрительных действий.

В этой статье Вам встретятся термины, напрямую связанные с областью блокчейна и информационных технологий. Чтобы освежить знания или углубить понимание - термины находятся в конце статьи.

В августе 2024 года DeFi-протокол «Nexera» стал жертвой хакерской атаки, в результате которой было украдено около 1.5 миллиона долларов в токенах NXRA. Инцидент произошел 7 августа, когда злоумышленник взял под контроль прокси-контракт Nexera и использовал администраторские функции для вывода доступных токенов.

Подробности инцидента:

Злоумышленник, получив криптовалюту на свой адрес, совершал операции с полученными средствами. Использовал свапы, мосты, объединял загрязненные активы с криптовалютой неизвестного или легального происхождения, пользовался транзитными адресами и разнообразными способами стремился скрыть источник происхождения средств. Такие действия обусловлены главной целью любого мошенника — замаскировать «грязные» активы под «чистые», для вывода на централизованные криптобиржи и обналичивания.

Централизованные криптобиржи применяют множество методов для проверки происхождения средств (AML) и не допускают на свои платформы сомнительные активы. Поэтому злоумышленники стараются разрабатывать более сложные и непрозрачные схемы, чтобы продемонстрировать «чистоту» своих активов.

Граф наглядно показывает перетекания средств между адресами блокчейн-сетями: Ethereum, Binance Smart Chain, TRON. Помимо перечисленных сетей в данном инциденте также присутствует блокчейн-сеть «Arbitrum», через которую также происходили перетекания средств для последующего обналичивания, но для наглядности действий злоумышленника рассматривались блокчейн-сети: «Ethereum»», «Binance Smart Chain» и «TRON».

Чтобы увидеть последовательность действий злоумышленника, граф события будет разделен на 3 части и поможет детальнее рассмотреть ход расследования:

Рассматривая схему получения средств детальнее видно, что злоумышленник получает криптоактивы с двух смарт-контрактов принадлежащим «Nexera» (ноды [1] и [2] на графе ниже) и начинает вести свой путь по «очистке» средств.

На данном графе можем заметить, что, получая криптовалюту злоумышленник при помощи децентрализованных сервисов [4] и [6] свапает «WETH» и «PORTAL» на «USDT». Производился этот обмен токенов, в целях запутывания финансовых цепочек перетекания средств и усложнения отслеживания связи транзакций с ворованными криптоактивами.

Следующий шаг злоумышленника состоит в том, что при помощи моста токены находящиеся в одной блокчейн сети конвертируются в другую, для затруднения связи происхождения средств с изначальных блокчейн-адресов злоумышленника с новыми.

Идея подобного метода помогает скрывать истинное происхождение средств, а также усложняет отслеживание в будущем. Благодаря использованию мостов между блокчейн-сетями происходит значительное усложнение расследования, так как каждая сеть имеет ключевые особенности хранения и передачи данных.

Ещё одним преимуществом использования децентрализованных методов конвертации токенов или сетей для злоумышленника выступает сильное снижение вероятности быстрого определения личности преступника при помощи стандартных AML, KYC или KYT процедур, используемые централизованными сервисами.

После смены сети с использованием моста (сеть Ethereum сменилась на Binance Smart Chain), злоумышленник продолжает деятельность по «очистке» незаконно полученных средств. Он проводит всевозможные манипуляции, включая использование транзитных адресов и аккумуляцию активов разного происхождения — преступного, легального и неопределенного — на своих кошельках.

На представленном графе видно, что план начинает реализовываться: небольшие суммы средств поступают на централизованные биржи, что может свидетельствовать о том, что мошенник тестирует систему на предмет прохождения проверок, связанных с AML процедурами.

Постепенные переводы небольших объёмов помогают ему избегать подозрений со стороны бирж, которые активно отслеживают крупные транзакции, и скрыть истинное происхождение активов.

Помимо того, что небольшие суммы позволяют злоумышленнику маскироваться под обычного пользователя, для расследования данного инцидента подобные транзакции могут играть существенную роль, ведь именно маленькие суммы средств порой не рассматриваются или рассматриваются с меньшим вниманием, а отправляются они именно на подтвержденные процедурой KYC аккаунты злоумышленника.

Не останавливаясь на одной смене блокчейн-сети злоумышленник снова обращается к помощи мостов и на этот раз меняет «Binance Smart Chain» на «TRON». Цель таких действий окончательно сбить блокчейн-расследователей с толку, замести следы со всеми адресами участвующими в процессе легализации преступных доходов и запутать цепочки транзакций ведущие к первоначальной краже.

Сеть сменяется 2 раз и теперь действия разворачиваются в блокчейне «TRON». Граф демонстрирует возможные пути для дальнейшего расследования.

Злоумышленник продолжает постоянно использовать большое количество транзитных адресов, которые служат временной точкой в аккумулировании поток средств и отправки на следующие подобные адреса. Подобные действия значительно замедляют стандартные процедуры отслеживания и требуют к себе более детального анализа. Зачастую подобные транзакции между адресами производятся с высокой скоростью и каждое перемещение активов создает сложности для отслеживающих их людей.

В определенный момент некоторые блокчейн-адреса становятся так называемыми «хранилищами» ведь именно благодаря таким адресам может развернуться отдельное трудоёмкое расследование по перемещению средств, полученных преступным путем. Еще одной особенностью подобных адресов может служить то, что они накапливают в себе криптоактивы для последующего перемещения или использования.

Накопив крупные объемы средств из разных потоков, злоумышленник начинает небольшими транзакциями выводить средства на централизованные сервисы, чтобы не привлекать к себе дополнительное внимание, и в последствии обналичить.

Для отслеживания цифровых следов преступника необходимо использовать методы анализа блокчейн-транзакций, учетные записи и осуществлять мониторинг идентификационных данных.

На основании последовательного перемещения активов между сетями и транзитными адресами можно составить определенные паттерны: перемещаемые суммы, определенное время, используемые сервисы. Ещё одной особенностью является то, что все транзакции записываются и носят открытый характер, используя мосты и огромное количество транзакций злоумышленник все равно оставляет за собой хоть и тяжело уловимый, но преступный след.

Согласно инструменту «BTrace» рассмотрение случайных адресов с общего графа показало, что второй и четвертый блокчейн-адреса характеризуются значительным выводом средств, тогда как в первом и третьем транзакции более сбалансированы с точки зрения объемов и характера.

Основные временные интервалы активности повторяются в дневное и вечернее время: 12:00–14:00 и 18:00–20:00. Исходя из этого, можно предположить, что человек, совершающий транзакции, находится в одном из регионов, использующих временной пояс UTC+3.

Преобладание исходящих транзакций во втором и четвертом блокчейн-адресах указывает на более активный вывод средств в эти периоды, тогда как в первом скриншоте наблюдается баланс.

Суммы транзакций различаются, при этом первый блокчейн-адрес явно выделяется по объемам, а остальные отображают меньшие суммы.

В случае с контактированием подозрительных адресов с централизованными сервисами по запросу правоохранительных органов можно раскрыть личности злоумышленников.

IP-адреса также могут стать доступными для правоохранительных органов в случаях когда злоумышленник использует около централизованные сервисы или VPN (многие VPN-сервисы по запросу правоохранительных органов могут выдать логи).

Для сбора всевозможных цифровых следов злоумышленника необходимо использовать комплексный подход. Который будет включать в себя запрос данных от централизованных сервисов, анализ IP-адресов, анализ блокчейн-транзакций и сотрудничество с правоохранительными органами.

Основным способом защиты себя от подобных ситуаций является внимательность и осторожность. Необходимо помнить, что любые конфиденциальные данные не должны быть раскрыты ведь с помощью них, злоумышленник может получить доступ ко всем активам и завладеть ими.

Особое внимание стоит уделить своим контрагентам каждого из них необходимо проверять на причастность к возможным инцидентам и наличию в активах грязных средств. Советуем вам для проверки своих транзакций и контрагентов использовать сервис определение риска адреса «BTrace», для предотвращения контакта с недоброжелательными адресами.

Чтобы защититься от мошенничества в криптовалюте следует не забывать об осторожность, соблюдение правил безопасности и осознавать возможные риски и угрозы. Соблюдение рекомендаций будет способствовать снижению рисков стать жертвой.