Викрадені у Phemex мільйони пішли на нові адреси

19 лютого почала рухатися частина коштів, викрадених унаслідок січневого злому сінгапурської криптовалютної біржі Phemex. На це звернули увагу аналітики Global Ledger.

Понад 2080 ETH (~$6 млн) надійшло на 14 нових адрес. Менше ніж 4000 ETH залишаються в основному Ethereum-гаманці, пов’язаному з атакою.

Експерти вказали на заплутану серію транзакцій і взаємодію з безліччю платформ і протоколів, що може вказувати на великий досвід роботи з блокчейном у кіберзлочинців.

Зокрема, один нещодавно створений гаманець отримав 601,34 ETH через п’ять окремих переказів, перш ніж кошти консолідувалися на іншій новій адресі кросчейн-моста Across Protocol. Потім їх додатково заплутали під час відправлення на другу адресу сервісу.

Крім прямих переказів на міксери Tornado Cash і eXch для анонімізації коштів, хакери використовували платформу Wintermute, протоколи DLN Trade і THORChain для обміну активами.

Частина коштів надійшла на кастодіальні платформи, включно з OKX і CoinEx, але більшість переміщень здійснювали з використанням ончейн-інструментів, таких як кросчейн-сервіси Bitget і гаманець ChangeNOW.

За спостереженням Global Ledger, до цієї серії транзакцій хакери переказували викрадені активи протягом останніх кількох тижнів, включно зі зливом 50 BTC і 4 млн XRP.

Наразі Phemex уже відновила торговельну діяльність і застерегла клієнтів від використання старих депозитних адрес. Генеральний директор Федеріко Варіола заявив, що частину біржових коштів перемістять у холодне сховище в рамках «всеосяжного оновлення безпеки».

Нагадаємо, 23 січня аналітики Cyvers Alerts виявили «множинні підозрілі транзакції» з використанням гарячих гаманців Phemex. Як з’ясувалося пізніше, атака включала понад 275 транзакцій тільки з використанням EVM-ланцюжків.

За останніми оцінками, збиток становив $85 млн. Експерти припустили причетність до інциденту пов’язаних із КНДР хакерів.