24 сентября аккаунты ряда пользователей децентрализованной биржи EtherDelta были взломаны с помощью остроумной схемы. Мошенник (или группа мошенников) разместил на блокчейне Эфириума смарт-контракт собственного токена ERC20 со встроенным Java-script, дающим доступ к личным данным пользователя на EtherDelta. Он разместил торговые ордера с этим контрактом на EtherDelta (токены, не участвующие в официальном листинге EtherDelta, обозначаются в торговой системе не аббревиатурой, а адресом смарт-контракта). 

Затем, он отправлял ссылку на этот токен участникам чатов на Slack и Discord каналах, и даже поместил ссылку свой токен в официальном чате EtherDelta на Gitter, сопроводив ссылку щедрыми обещаниями будущих прибылей. Получив доступ к депозитам пользователей, он вывел с них средства. Эта история, подробно описанная порталом Hackernoon, не привлекла особого внимания, и была довольно быстро забыта из-за небольшого числа пострадавших, хотя размер убытков, по некоторым данным, составил сотни тысяч долларов.

Однако, скандал получил продолжение в связи с бумом ICO этой осени: грабитель стал «героем-неудачником» недавнего токенсейла проекта децентрализованного обмена токенов AirSwap, проходившего 11 октября, и даже попавшего на страницы портала Bloomberg.

Исследователь Бобби Боубойн, (Bobby Bowboin) выяснил, что один из кошельков, на который были выведены средства, похищенные у EtherDelta, стал источником средств для кошелька, с которого была проведена неудачная транзакция на ICO AirSwap, что привело к потере $75 000 в ETH, уплаченных за газ. Более того, позже хакер предпринял еще одну попытку транзакции и потерял еще $22 000.

История транзакций свидетельствует, что некто был допущен в Белый Список участников токенсейла с взносом в 3.3 ETH (предельная сумма для участников), т. е., этот пользователь зарегистрировался в Белом Списке и прошел идентификацию KYC (возможно, с поддельными данными), но оставил след в системе.

Инвесторы из Белого Списка вносили средства в течение 24 часов, но некоторые из них внесли меньше предельных 3.3 ETH. Этот остаток был выставлен на продажу на следующий день, но уже без верхней границы. Обычно, здесь и начинается ажиотаж, когда каждый стремится первым провести транзакцию, устанавливая высокую цену газа, ведь токенсейл останавливается по достижении целевой суммы. На этом этапе и была проведена ставшая знаменитой транзакция – хакер пытался внести 1700 ETH (более $500 000 на тот момент), заплатив $75 000 в качестве газ-комиссии. Интересно, что даже в случае успешной транзакции, мошенник не получил бы большой прибыли – курс токенов AST лишь краткое время торговался с премией в 10% над ценой ICO, после чего последовал дамп. Однако он не успокоился, и сделал еще одну попытку с газ-комиссией $22 000, также завершившуюся неудачей.

Боубойл рассказал о своих находках команде AirSwap, после чего выяснилось, что причиной неудачных транзакций стала жадность хакера: команда удалила его из Белого Списка, после того, как он попытался зарегистрировать в нем до 40 аккаунтов с одного кошелька. Именно поэтому, транзакция на 1700 ETH и не прошла – смарт-контракт ICO не принял средства, однако взял комиссию.

Продолжая расследования, Боубойн увидел еще несколько транзакций на различные токенсейлы с кошелька мошенника. Наиболее интересной здесь кажется транзакция в 4000 ETH на контракт, с большой вероятностью являющийся адресом текущего токенсейла проекта Polkadot. По словам Боубойла:

[…] Для участия в ICO Polkadot необходимы паспортные данные и фотография участника, заверенные в системе picops.parity.io. Правда, я не думаю, что хакер настолько глуп, чтобы использовать собственный паспорт в системе верификации.

Авторы расследования не раскрывают некоторые данные, чтобы не провоцировать «охоту на ведьм» в сети, однако готовы предоставить их компетентным органам по запросу.