Хакер, взломавший криптовалютную биржу Liquid, пытается замести следы и уже отправил ETH стоимостью $20 млн в миксеры. Часть украденных криптоактивов перемещена на Uniswap, Huobi, Binance и Poloniex.

На прошлой неделе японская криптовалютная биржа Liquid сообщила о взломе горячих кошельков. По оценкам биржи, в ходе атаки были украдены криптовалюты на сумму около $80 млн. Хакеры смогли присвоить 107 BTC, 9 000 000 TRX и 11 000 000 XRP. По данным обозревателя блокчейна Эфириума Etherscan, злоумышленникам также удалось украсть ETH и токены стандарта ERC-20, в том числе UNI, RFOX и ENJ.

Позже Liquid опубликовала в Twitter больше адресов, которые биржа идентифицировала как хакерские, и заявила, что остановила вывод криптовалюты, а также подала отчет о подозрительной транзакции в Валютное управление Сингапура (MAS). В субботу Liquid объявила об обновлении инфраструктуры кошелька биржи и переводе денег пользователей «в новые безопасные хранилища».

Однако атаковавший биржу хакер не теряет времени даром – согласно публичным данным блокчейнов, злоумышленник предпринимает шаги, чтобы замести следы. По данным Etherscan, более 6 000 ETH (около $19.7 млн) были отправлены в миксер Tornado.cash. Хакер также использовал децентрализованную биржу Uniswap и другие DEX для ликвидации токенов ERC-20 в течение первых двух дней после взлома.

По состоянию на 21 августа на кошельке хакера находились 9 319 ETH (около $30 млн), однако утром 23 августа эта сумма снизилась до 6 790 ETH ($22.5 млн). Elliptic также опубликовала данные о движении украденных денег в своем блоге. По данным аналитической компании, на кошельки предполагаемых хакеров было отправлено более $97 млн в криптовалюте.

«Эта сумма включает $45 млн в токенах на Эфириуме, которые сейчас конвертируются в ETH с использованием децентрализованных бирж, например, Uniswap и SushiSwap», – сообщили аналитики Elliptic.

Согласно статье в блоге Liquid от 20 августа, различные эмитенты токенов ERC-20 уже заморозили украденные активы. В целом, 69 криптоактивов были украдены из кошельков биржи «и отправлены на другие биржи или обменники». В другом кошельке хакера по-прежнему находятся 538 ETH, которые не перемещались с момента взлома. По данным Blockchain.com, все украденные биткоины – 107.4 BTC – также находятся на кошельке хакера.

По данным Tronscan, около 3.5 млн TRX были переведены в отдельный кошелек. Часть украденных TRX стоимостью около $1 млн была отправлена большими партиями на адрес, принадлежащий бирже Huobi. Деньги поступали на биржу несколькими транзакциями с четырех взаимосвязанных кошельков. Пресс-секретарь Huobi Марк Ли (Mark Lee) подтвердил, что это адрес депозита пользователя Huobi.

«После того, как Huobi была предупреждена об этом инциденте, мы наложили ограничения на счет и сейчас проводим внутреннее расследование как в отношении транзакции, так и счета», – отметил Ли.

По данным XRPScan, хакер отправил около 11.5 млн XRP на биржи Binance, Huobi и Poloniex. Согласно записи Liquid в Twitter, некоторые из этих XRP были успешно обменены на BTC на одной из бирж, и хакеру удалось вывести 192 BTC на два адреса. Как выяснилось позже, обмен был проведен на Binance – пресс-секретарь площадки Джессика Юнг (Jessica Jung) подтвердила, что биржа идентифицировала XRP, украденные с Liquid, в своих кошельках.

«Мы предоставили Liquid соответствующую информацию, включая адреса для вывода BTC», – сказала Юнг. По ее словам, Binance заморозила «связанные счета».

Генеральный директор криптовалютной биржи KuCoin Джонни Лю (Johnny Lyu) написал в Twitter, что площадка внесла в черный список адреса, связанные со взломом.