block-chain24.com
Транзакции в блокчейне, связанные со злоумышленником, стоящим за взломом Balancer на $116 млн, указывают на опытного исполнителя и тщательную подготовку. По данным нового ончейн-анализа, организация атаки могла занять несколько месяцев и не оставить заметных следов.
Децентрализованная биржа и автоматический маркет-мейкер Balancer (BAL) подвергся атаке в понедельник. В результате инцидента было похищено цифровых активов на сумму около $116 млн.
Данные из блокчейна показывают, что злоумышленник осторожно пополнял свой счет, используя небольшие депозиты по 0,1 $ETH из криптомиксера Tornado Cash (TORN), чтобы избежать обнаружения. Директор Coinbase Конор Гроган сообщил, что у эксплоитера было как минимум 100 $ETH на хранении в смарт-контрактах Tornado Cash, что может указывать на связь с предыдущими взломами.
«Хакер кажется опытным: 1. Пополнил счет через депозиты в 100 $ETH и по 0,1 через Tornado Cash. Утечек операционной безопасности нет, — написал Гроган в публикации в социальной сети X в понедельник. — Поскольку недавних депозитов в 100 $ETH через Tornado не было, вероятно, эксплоитер хранил эти средства там после предыдущих атак».
Гроган отметил, что пользователи редко хранят такие крупные суммы в миксерах для конфиденциальности, что также свидетельствует о профессионализме атакующего.
Источник: Конор Гроган.
Команда Balancer предложила эксплойтеру вознаграждение в размере 20% по схеме белого хакера при условии возврата полной суммы похищенных средств за вычетом вознаграждения до среды.
«Наша команда сотрудничает с ведущими специалистами по безопасности, чтобы разобраться в проблеме, и мы поделим дополнительными выводами и полным разбором инцидента как можно скорее», — написала команда Balancer в своем последнем обновлении в X в понедельник.
Взлом Balancer стал самой сложной атакой 2025 года
По словам Дебби Лавида, сооснователя и генерального директора компании по блокчейн-безопасности Cyvers, эксплоит Balancer является одной из «самых сложных атак, которые мы видели в этом году».
«Злоумышленники обошли уровни контроля доступа, чтобы напрямую манипулировать балансами активов. Это критический сбой в операционном управлении, а не в основной логике протокола», — заявил Лавид.
Он отметил, что эта атака демонстрирует недостаточность статических аудитов кода. Вместо этого он призвал к непрерывному мониторингу в реальном времени для выявления подозрительных потоков до того, как средства будут выведены.
Группа Lazarus приостановила незаконную активность на месяцы перед взломом Bybit на $1,4 млрд
Перед своими крупнейшими атаками известная северокорейская группа Lazarus также известна тщательной подготовкой.
Согласно данным аналитической блокчейн-компании Chainalysis, незаконная активность, связанная с северокорейскими киберагентами, резко сократилась после 1 июля 2024 года, несмотря на всплеск атак ранее в том же году.
Активность северокорейских хакеров до и после 1 июля. Источник: Chainalysis.
Значительное замедление перед взломом Bybit сигнализировало о том, что поддерживаемая государством хакерская группа «перегруппировывалась для выбора новых целей», как сообщил Эрик Жардин, руководитель отдела исследований киберпреступлений Chainalysis.
«Наблюдавшееся нами замедление могло быть связано с перегруппировкой для выбора новых целей, зондирования инфраструктуры или могло быть связано с теми геополитическими событиями», — пояснил он.
Группе Lazarus потребовалось 10 дней, чтобы отмыть 100% средств, похищенных у Bybit, через децентрализованный кросcчейн-протокол THORChain (RUNE), о чем сообщалось 4 марта.