Кит потерял 27,3 миллиона в мультисиг-эксплойте: как преступники скомпрометировали приватный ключ

Крупный инцидент безопасности поразил кошелек важной криптовалютной “китовой” фигуры, с потерями, которые могут превысить 40 миллионов долларов. Согласно анализу платформы безопасности блокчейн PeckShield, утечка была вызвана компрометацией приватного ключа, связанного с мульти-сиг кошельком, что позволило преступникам быстро вывести значительные активы.

Уязвимая архитектура мульти-сиг кошелька

Уязвимость не была просто вопросом пассивного кражи. Исследователи Hacken Extractor обнаружили, что так называемый “компрометированный” кошелек, возможно, никогда не контролировался легитимным владельцем. Согласно реконструкциям, злоумышленник создал мульти-сиг кошелек 4 ноября в 7:46 UTC, сразу же переведя средства к себе всего через шесть минут. Эта схема указывает на то, что первоначальный владелец никогда не имел полного контроля над криптографическими ключами, делая кошелек уязвимым с самого начала.

Кошелек, финансированный примерно за 44 дня до взлома, является ярким примером того, как даже крупные инвесторы могут стать жертвами сложных атак, основанных на социальной инженерии или начальных компрометациях приватных ключей.

Быстрый слив и отмывание

На момент опустошения, злоумышленник вывел 27,3 миллиона долларов с кошелька, оставив около 2 миллионов долларов в ликвидных активах. Атакующий сразу начал операции по отмыванию через Tornado Cash, конвертируя 4.100 ETH (, что эквивалентно 12,6 миллионам долларов по текущим рыночным ценам, при этом ETH обменян по цене $3.09K) в анонимных средствах.

Одновременно злоумышленник сохранил контроль над оригинальным мульти-сиг кошельком, в котором находилась длинная позиция с кредитным плечом на Aave. Эта сохранность контроля над средствами указывает на то, что атакующий может попытаться осуществить дополнительные сливания или манипуляции с торговлей.

Методы отмывания и защита активов

Крипто-миксеры, такие как Tornado Cash, стали важными инструментами для преступников в сокрытии происхождения украденных средств и усложнении операций по возврату. Используя калькулятор ликвидности для отслеживания сумм, можно наблюдать, как эти миксеры обрабатывают огромные объемы подозрительных транзакций ежедневно.

Значительный случай связан с кражей с криптовалютной биржи, где Lazarus Group похитила активы на сумму около 250 миллионов долларов в Ethereum. Группа начала отмывать средства всего через несколько дней после кражи, переместив более 605 миллионов долларов в ETH за три дня после атаки. К первому марту, они полностью отмыли 499.000 ETH, использовав комбинацию крипто-миксеров и децентрализованных бирж (DEX).

Последствия для безопасности мульти-сиг кошельков

Этот инцидент подчеркивает часто недооцениваемый риск: даже когда “кит” использует передовую архитектуру безопасности, такую как мульти-сиг, компрометация одного приватного ключа может иметь катастрофические последствия, если кошелек не был проверен независимо с самого начала. Хронология атаки показывает, что первые признаки аномалии появились еще 4 ноября, задолго до публичного обнаружения.

Главный урок — никакая система безопасности не застрахована, если криптографические основы были скомпрометированы с самого начала. “Киты” и институциональные инвесторы должны внедрять дополнительные проверки, многоуровневую верификацию и независимый аудит своих приватных ключей перед переводом значительных средств в новые кошельки, даже если они используют передовые протоколы мульти-сиг.