cointelegraph-ru.com
Аналитические платформы представили первые результаты расследования серии кибератак на российские криптосервисы, произошедших накануне. По данным TRM Labs, кроме биржи Grinex во время инцидента под удар также попала платформа TokenSpot.
Единый след
Атака на Grinex привела к потере около $15 млн, после чего биржа объявила о приостановке работы и обратилась в полицию. Однако в TRM Labs выявили, что в это же время пострадал и сервис TokenSpot.
«Хотя с него вывели всего $5000, средства поступили на тот же адрес, где аккумулировались украденные активы Grinex», — рассказали аналитики.
По их словам, злоумышленники действовали по отработанной схеме.
«Сначала они переводили похищенное в стейблкоины USDT, а затем конвертировали их в монеты TRON (TRX) через SunSwap — децентрализованную биржу (DEX), которая позволяет менять токены напрямую между пользователями через смарт-контракты, минуя проверку личности и централизованных посредников», — согласно отчету.
Такой маневр позволил хакерам быстро сменить тип актива на тот, который технически сложнее заблокировать.
Мнение эксперта
CEO BitOK Дмитрий Мачихин в комментарии Cointelegraph RU подтвердил, что объединение средств с Grinex и TokenSpot на одном адресе указывает на общую инфраструктуру платформ.
По его словам, ранее уже фиксировались ончейн-паттерны, связывающие обе площадки с наследием Garantex, а текущий взлом фактически подтвердил эту связь.
«Это не “странный мув”, а логичное подтверждение того, что они сидят на одной инфраструктуре. Атаки на обе платформы начались синхронно, что лишний раз доказывает: это одна сеть», — отметил он.
Эксперт подчеркнул, что объединение средств произошло осознанно со стороны злоумышленников.
«Хакеры не думали о сохранении легенды, что это разные биржи — им нужно было как можно быстрее сбросить украденное через децентрализованные сервисы. В такой ситуации скорость вывода активов важнее, чем попытки скрыть связь между площадками», — пояснил Мачихин.
Он также прокомментировал разницу в объеме похищенных средств.
«Кража $5000 с TokenSpot — это не тест, а побочный эффект автоматизированного взлома. Когда атакующий получает доступ к системе, он просто выводит все доступные балансы, до которых может дотянуться», — добавил он.
По мнению эксперта, это свидетельствует о компрометации всей инфраструктуры, а не отдельных сервисов.
Отдельно Мачихин отверг версию о причастности иностранных спецслужб, которая скорее выглядит как «попытка прикрыть дырявую безопасность».
«Если бы речь шла о политической диверсии, регуляторам проще было бы заморозить активы, как это уже не раз бывало. Здесь же мы видим классический криминальный налет на одну сеть под разными вывесками», — заключил он.
Есть третья жертва?
Как пишет РБК со ссылкой на аналитиков «Шард», есть вероятность существования еще одной жертвы. Специалисты в области безопасности допускают, что те же хакеры могли взломать еще один сервис, физически расположенный в деловом центре Москва-Сити.
Однако официальных подтверждений по этому эпизоду пока нет.