На прошлой неделе была взломана новозеландская криптовалютная биржа Cryptopia, однако детальная информация о взломе до сих пор не представлена. Аналитическая компания Elementus, решив пролить свет на ситуацию, провела исследование, в ходе которого выяснилось, что злоумышленники имели доступ к счетам клиентов Cryptopia на протяжении целых пяти дней.

Аналитики подчеркнули, что взлом биржи совершенно не похож на стандартные сценарии несанкционированного доступа к криптовалютным площадкам. Обычно злоумышленники используют уязвимости в смарт-контракте или получают доступ к секретному ключу основного кошелька биржи. В случае Cryptopia средства «утекли» с 76 000 различных кошельков, причем все они не были связаны со смарт-контрактами.

13 января хакеры получили доступ к двум основным кошелькам биржи, на которых хранились ETH и другие токены на базе Эфириума, и опустошили их. Затем злоумышленники начали обворовывать вторичные кошельки биржи, общее число которых составляет 76 000.

230119_elementus_tokens.png

По подсчетам аналитиков, всего было украдено эфира и других токенов на $16 млн по текущим рыночным ценам. Больше всего было похищено эфира – на $3,5 млн, токенов Dentacoin было украдено на $2,5 млн, а Oyster Pearl – на $1,95 млн. При этом в исследовании участвовал только блокчейн Эфириума. Были ли похищены средства клиентов с других блокчейнов – неизвестно.

230119_elementus_exch.png

После осуществления взлома хакеры разделили средства на небольшие суммы и выводили их через различные криптовалютные биржи. Более $320 000 было выведено через площадку Bibox и почти $280 000 – через Binance. Затем платформа заблокировала счета хакеров. Всего, по подсчетам аналитиков, было выведено более $880 000.

Сообщается, что большая часть средств – около $15 млн – осталась на двух известных кошельках злоумышленников:

  • 0x9007a0421145b06a0345d55a8c0f0327f62a2224

  • 0xaa923cd02364bb8a4c3d6f894178d2e12231655c

Аналитики предположили, что все секретные ключи от кошельков биржа хранила на одном единственном сервере, причем без создания резервной копии. Поэтому хакеры, получив доступ к серверу и скачав ключи, удалили их, оставив биржу без доступа к кошелькам.

В исследовании также отмечается, что осталось еще около 2 000 не попавших под взлом кошельков, на которых хранится около $46 000. Аналитики считают, что большая часть средств клиентов не пострадала, так как биржа хранит их в кастодиальном сервисе или «холодном» кошельке. Такой вывод основан на том, что общее количество похищенных средств сравнительно невелико.