Убытки, понесенные пользователями Atomic Wallet в результате хакерской атаки, выросли до более чем $100 млн, полагают эксперты аналитической компании Elliptic. Они также считают, что за взломом стоят хакеры из Северной Кореи.
2 июня, Atomic Wallet, децентрализованный криптовалютный кошелек, подвергся масштабному взлому. Продукт является некастодиальным кошельком, то есть хранением своих средств занимаются сами пользователи, не прибегая к услугам кастодина – третьей стороны, которая обязуются хранить средства клиентов (так, например, осуществляется хранение средств в банке или даже криптовалюты на счетах криптовалютной биржи).
Данные обстоятельства не на шутку взволновали всё криптовалютной сообщество, не говоря уже о самих пользователях, многие из которых потеряли всё своё состояние.
Изначально сообщалось, что убытки от действий хакеров составляли как минимум 35 млн долл. США. После нескольких дней изучения ситуации аналитики компании Elliptic констатируют, что данная сумма, на самом деле, в 3 раза больше – по их подсчётам было украдено более 100 млн долл. США.
Эксперты также сообщили, что атака затронула более 5000 кошельков, в то время десять из них потеряли больше $1 млн каждый.
«Мы отслеживаем более 5000 криптовалютных кошельков, которые, предположительно, были взломаны в результате атаки. По меньшей мере десять криптоадресов потеряли более $1 млн, и по меньшей мере 164 – более $100 000. Средний размер потерь составляет $2 800», — сообщается в публикации Elliptic, размещенной в официальном блоге компании.
Прозрачность блокчейна как публичного реестра переводов в криптовалютах позволяет идентифицировать адреса пострадавших кошельков и дальнейшее перемещение средств. Проанализировав движение украденных активов, в Elliptic посчитали, что взломщиками скорее всего являются хакеры из ставшей известной за последние годы группировки Lazarus Group, которую связывают с Северной Кореей. На такой вывод их натолкнул тот факт, что украденные средства были перемещены на криптомиксер Sinbad.io.
Несмотря на то, что криптовалюты считаются конфиденциальными, прозрачность блокчейна, как уже упоминалось, позволяет проследить за цифровым следом транзакций и узнать, где, когда, откуда и куда произошли те или иные криптовалютные переводы. При достаточном наличии дополнительной информации и мощных специализированных аналитических средств можно отследить к кому ушли монеты.
Криптовалютные миксеры – это сервисы, которые позволяют пользователям скрывать происхождение и назначение транзакций. Пользователи отправляют свою криптовалюту в сервис, где их монеты хаотично перемешиваются с другими монетами или токенами, а затем получают эквивалентное количество уже «смешанных» монет на указанный адрес получения. Таким образом, запутывается связь между отправителем и получателем.
Предыдущий анализ Elliptic показывает, что Sinbad с высокой степенью вероятности управляется тем же людьми, которые стояли за Blender. Так, исследователи обнаружили, что на «служебный» адрес Sinbad поступали биткоины из кошелька, который, как считается, принадлежит операторам Blender, которым активно пользовались Lazarus Group в прошлом, и который стал первым подобным сервисом, на который были наложены санкции Министерства финансов США.
Данный инцидент также прокомментировали в беседе с изданием «РБК-Крипто» представители компании MatchSystems, которая также занимается расследованиями, связанными с криптовалютами. Они отметили, что использование микшера — единственный аргумент, связывающий северокорейских хакеров со взломом кошелька, добавив, при этом, что сервис публично доступен для всех желающих, а его популярность, вероятно, только возросла среди других злоумышленников после упоминаний в СМИ и блогах компаний.
Помимо этого, согласно анализу Elliptic, часть похищенных средств была переведена хакерами на зарегистрированную в Эстонии и ориентированную на российских клиентов криптобиржу Garantex, находящуюся под санкциями США. На сайте платформы в разделе «контакты» указан ее адрес в «Москва-Сити», башня «Федерация».
В ответ директор по коммуникациям Garantex Евгения Бурова сообщила «РБК-Крипто», что все связанные с инцидентом аккаунты сейчас заблокированы и биржа готова сотрудничать с правоохранительными органами. При этом, она посетовала на контрпродуктивное поведение специалистов Elliptic, которые, по её словам, если бы действительно хотели предотвратить проведение дальнейших транзакций выявленной ими высокорисковой криптовалюты, то уведомили бы Garantex до публикации пресс-релиза.
«Мы призываем международные аналитические сервисы сотрудничать с нами в рамках пресечения подобных транзакций на самых ранних этапах. Увы, сейчас подобной практики нет: российским компаниям прямо отказывают либо игнорируют их предложения сотрудничества», — говорит Бурова.
По ее словам, бирже удалось заблокировать часть похищенных средств, которые после запроса от правоохранительных органов могут вернуться законным владельцам.
Несмотря на масштабы инцидента, Atomic Wallet пока не предоставил никаких объяснений, которые бы пролили свет на данную атаку. Это вызвало беспокойство у разочарованных пользователей, которые с тревогой ожидают разъяснений и заверений от компании. Между тем, на момент публикации последняя публикация компании в Twitter была размещена 8 июня.
«Компания Atomic стремится помочь как можно большему числу жертв взлома. Мы привлекли Chainlysis, ведущую [аналитическую] компанию в сфере расследования инцидентов, связанных с криптовалютами для того, что отследить похищенные средства, а также сотрудничаем с биржами и властями», — говорится в сообщении.
«По имеющейся у нас информации, в ходе расследования со стороны руководства Atomic Wallet обратилась к нескольким компаниям, занимающимся отслеживанием криптовалют и цифровых активов. Содействие с их стороны направлено на разметку похищенных активов, но любые подробности технической стороны инцидента тщательно скрываются», — сообщил СEO компании Match Systems Андрей Кутьин.
По его словам, это не позволяет провести независимую оценку взлома. Кроме того, ни одна из компаний не заявила о том, что занимается расследованием технической стороны, а команда Atomic Wallet никак не комментирует предложения о безвозмездном расследовании инцидента.
Редкие публикации в Твиттере и в целом отсутствие достаточной связи с общественностью возмущают разгневанных пользователей.
«Atomic Wallet почему вы не даёте мне прямой ответ, почему вы не предупредили меня, прекрасно зная, что вас взламывают, что использовать кошелёк небезопасно на прошлой неделе, прежде чем я сделал перевод на свой кошелек, который затем был взломан».
«Atomic Wallet последнее сообщение от вас было пять дней назад – СЕРЬЕЗНО?!?!!»
Для расследования необходимо получить так называемые логи сервера — журнал активности, в котором протоколируются все действия пользователей на сайте. По словам Кутьина, в Atomic Wallet отказываются предоставить необходимые файлы как его компании, так и другим, несмотря на многочисленные запросы.
Усугубляет ситуацию то, что, Atomic Wallet всегда держал свой код закрытым, в том числе от независимых аудиторов. Некоторые криптовалютные проекты предпочитают не раскрывать программный код, чтобы избежать копирования конкурентами. Однако пользователи, поскольку не могут просмотреть код, не могут проверить, действительно ли тот работает так, как должен, и не содержит уязвимостей.
В комментариях социального форума Reddit пользователи также делятся информацией о пропаже средств. Один из них рассказал, что некто, представившись сотрудником технической поддержки кошелька, написал на другом форуме, 4chan, что команда отключила уведомления на мобильной версии кошелька перед взломом и опубликовал две фотографии монитора, на которых якобы открыт интерфейс службы поддержки кошелька, где накапливаются заявки пользователей в момент инцидента. Подтвердить подлинность заявленной информации не удалось, а автора публикации заблокировали модераторы сайта.
Подход Atomic Wallet к безопасности также критикуют эксперты из криптосообщества.
Среди них, например, Тейлор Монахан, основательница менеджера Ethereum-кошельков MyCrypto и исследовательница в области кибербезопасности. Еще в феврале прошлого года она критиковала Atomic Wallet за бездействие в отношении уязвимостей, выявленных в ходе аудита кошелька со стороны компании Least Authority, написав, что разработчики «отказываются слушать других». В Least Authority тогда заявили, что «система Atomic Wallet недостаточно продумана с точки зрения безопасности и подвергает пользователей кошелька значительному риску».
По словам Монахан, выявленные Least Authority недостатки в системе безопасности означают, что Atomic Wallet, вероятно, «непреднамеренно сохранял» на своих серверах закрытые ключи пользователей, которые используются для восстановления доступа к кошельку, а затем эти сервера взломали хакеры.
«Скорее всего, они непреднамеренно сохраняли [приватные ключи] из-за плохой кибергигиены и самонадеянности, а затем их сервер был взломан, и таким образом все пострадали», — написала она.
В свою очередь, Atomic Wallet, в лице директора по маркетингу Роланда Сэде сообщил Cointelegraph, что команда «делает все возможное, чтобы вернуть эти средства», добавив, что создание конкретного плана возможно только после окончания расследования.
«Конечно, команда опустошена, так как мы очень гордимся нашей безопасностью. Мы нон-стоп работаем над тем, чтобы все уладить и выйти из этого кризиса сильнее, чем раньше», — заявил он.
