Forklog 2025-02-20 08:57:45

Похищенные у Phemex миллионы ушли на новые адреса

19 февраля пришла в движение часть средств, похищенных в результате январского взлома сингапурской криптовалютной биржи Phemex. На это обратили внимание аналитики Global Ledger. Более 2080 ETH (~$6 млн) поступило на 14 новых адресов. Менее 4000 ETH остаются в основном Ethereum-кошельке, связанном с атакой. Эксперты указали на запутанную серию транзакций и взаимодействие со множеством платформ и протоколов, что может указывать на большой опыт работы с блокчейном у киберпреступников. В частности, один недавно созданный кошелек получил 601,34 ETH через пять отдельных переводов, прежде чем средства консолидировались на другом новом адресе кроссчейн-моста Across Protocol. Затем их дополнительно запутали при отправке на второй адрес сервиса. Помимо прямых переводов на миксеры Tornado Cash и eXch для анонимизации средств, хакеры использовали платформу Wintermute, протоколы DLN Trade и THORChain для обмена активами. Часть средств поступила на кастодиальные платформы, включая OKX и CoinEx, но большинство перемещений осуществлялось с использованием ончейн-инструментов, таких как кроссчейн-сервисы Bitget и кошелек ChangeNOW. По наблюдению Global Ledger, до этой серии транзакций хакеры переводили похищенные активы в течение последних нескольких недель, включая слив 50 BTC и 4 млн XRP. На данный момент Phemex уже возобновила торговую деятельность и предостерегла клиентов от использования старых депозитных адресов. Генеральный директор Федерико Вариола заявил, что часть биржевых средств переместят в холодное хранилище в рамках «всеобъемлющего обновления безопасности». Напомним, 23 января аналитики Cyvers Alerts выявили «множественные подозрительные транзакции» с использованием горячих кошельков Phemex. Как выяснилось позднее, атака включала более 275 транзакций только с использованием EVM-цепочек. По последним оценкам, ущерб составил $85 млн. Эксперты предположили причастность к инциденту связанных с КНДР хакеров.