Киберпреступник, которого до сих пор не идентифицировали, продолжает беспрепятственно выводить и отмывать украденные средства из мультиподписного Ethereum-кошелька, скомпрометированного в результате масштабного взлома. Согласно данным аналитиков, недавно он снова перевел 1 000 ETH из протокола децентрализованного кредитования Aave и провел эти средства через миксер Tornado Cash.
Об этом сообщает ProIT
Детали взлома и движения активов
Эксперты компании PeckShield отмечают, что общая сумма эфира, которая была отправлена через Tornado Cash, достигла 6 300 ETH, что эквивалентно примерно $19,4 млн. Сам инцидент начался после того, как в декабре прошлого года были скомпрометированы приватные ключи мультисиг-кошелька. Нападающий до сих пор владеет леверидж-лонг позицией в ETH на платформе Aave, используя взломанный адрес.
Собственно, скомпрометированный кошелек — это мультиподписной адрес Gnosis Safe с идентификатором “0x1fC…d23Ac”, который не связан с протоколом Aave и, вероятно, принадлежит частному инвестору-киту. Согласно данным блокчейна, злоумышленник продолжает удерживать позицию с обеспечением в размере около $20,5 млн в ETH против займа в $10,7 млн в DAI, то есть леверидж-лонг общей стоимостью $9,75 млн. Несмотря на длительную платежеспособность, такая позиция остается уязвимой к изменениям рыночной конъюнктуры.
Тактика преступника и действия после взлома
PeckShield впервые обнародовала информацию об этом инциденте 18 декабря. Тогда через Tornado Cash уже было проведено около 4 100 ETH, а хакер сохранял контроль над мультисиг-кошельком и открытой позицией на Aave. Согласно данным компании, киберпреступник не спешил закрывать свои позиции, а постепенно снимал обеспечение, отмывая активы через миксер и оставляя долговые обязательства открытыми.
Такой подход свидетельствует о использовании тактики «медленного слива», которая позволяет максимизировать вывод средств и одновременно снизить риск принудительной ликвидации активов в DeFi-протоколах
Инструменты анонимизации, такие как Tornado Cash, часто применяются в случаях криптовалютных эксплойтов для разрыва цепочки транзакций и усложнения отслеживания движения активов. Личность владельца взломанного кошелька не раскрыта, как и не установлены его связи с казначействами известных протоколов. Адрес остается активным: его можно отслеживать в сервисе Etherscan, где фиксируются транзакции с контрактами Aave и депозиты в Tornado Cash. Сведений о масштабных попытках возврата украденного на данный момент нет, а дальнейшая судьба леверидж-позиции — под вопросом.