Один із найбільш тривожних випадків помилкової ідентифікації в новітній історії криптовалют показує, як шановного білого хакера та колишнього дослідника безпеки Yuga Labs затримали в аеропорту у 2023 році за підозрою у причетності до складної фішингової атаки, яка призвела до крадіжки понад 1,1 мільйона доларів у NFT Bored Ape.
Ця подія піднімає багато питань щодо точності судово-медичних процесів правоохоронних органів, особливо в контексті все більш доступних інструментів конфіденційності та зростаючого використання децентралізованих ідентичностей.
Сем Кюррі — дослідник у Yuga Labs, який працював над аналізом фішингових загроз — став непередбачуваною мішенню через погану атрибуцію на основі IP-адреси та непорозуміння цифрового сліду, який він відстежив до справжнього нападника. Блокчейн-форензіка тепер виявляє набагато сильніші докази, що вказують на іншого підозрюваного, який все ще на свободі.
Викрадення Bored Ape: Посібник з соціальної інженерії
Він сягає корінням у грудень 2022 року, інцидент, який зовсім повертається в інший час. Жертву, захоплену 14 високо цінними NFT Bored Ape Yacht Club (BAYC), заманили в аферу з соціальною інженерією. Хто запустив цю аферу? Не дуже невинний шахрай, який маскувався під продюсера бійок, використовуючи перероблені, глибоко довірені та стародавні перевірені облікові записи X (formerly Twitter).
Використовуючи цю вигадану пропозицію як приманку, шахрай заманив жертву на фішинговий сайт. Опинившись там, жертві було запропоновано надати шахраю зловмисне право доступу. Це спрацювало. За лічені секунди всі 14 NFT були викрадені та відправлені на адресу, де їх можна було зрідити: «0x9335da37d37bc5d46850eaee48f8b9ccbe94d9a2».
Після цього нападник діяв швидко, розпоряджаючись NFT та спрямовуючи виручку через інструменти, що зберігають конфіденційність. Самі перекази були справжнім видовищем — чотири окремі партії по 100 ETH, п’ять депозитів, зауважте, по 100,000 DAI та кілька інших менших депозитів ETH. Загалом ці перекази мали на меті зробити відправника виглядати досить невинно, пересилаючи кошти через Tornado Cash.
Проте, через характерні обсяги та часи як депозитів, так і виведень, аналітики змогли з упевненістю відновити змішування транзакцій, що відбувалися в Tornado. Це був значний крок уперед у виявленні справжнього призначення коштів.
Дослідника затримано, слід неправильно прочитано
Перейти до вересня 2023 року: відомий білий хакер Сем Керрі, який зробив внески в безпеку в Yuga Labs, був затриманий правоохоронними органами в аеропорту. Сем Керрі отримав повістку великого журі у зв'язку з крадіжкою NFT на суму 1,1 мільйона доларів — звинувачення, яке здивувало та шокувало спільноту безпеки.
Справа проти Каррі, однак, швидко розгорнулася. Детективи виявили IP-адресу місця проживання Каррі в журналах OpenSea, пов'язаних з фішинговим веб-сайтом. Що вони пропустили, так це те, що Каррі отримав доступ до сайту в рамках свого власного аналізу безпеки. Виявляється, шахрай помилково залишив приватний ключ у JavaScript сайту, який Каррі використовував під час свого розслідування. Збіг IP-адреси був суто непрямим – випадком неповного контексту, що призвело до неправомірного наслідку.
В кінці кінців, повістка була скасована, але шкода вже була завдана характеру та приватності Керрі. У той же час, набагато більш помітний слід підозрюваних обережно приховувався на блокчейні.
Fugazi Gambler і стежка до Gate.io і Remitano
Після розриву переказів Tornado Cash аналітики виявили, що наступна мета була готова і чекає — криптовалютна біржа під назвою Gate.io. Кошти, які вкрали хакери, були відправлені через серію сервісів швидкісного обміну, які майже миттєво перетворили одну форму криптовалюти на іншу. А потім, використовуючи 21 різну адресу на біржі, Gate.io отримав загалом понад 105 мільйонів доларів у криптовалюті, яка для всіх практичних цілей була в стільки різних форм, скільки могла бути будь-яка раніше існуюча криптовалюта.
Лише за кілька тижнів до використання Gate.io хакери надіслали ту ж серію обмінів через інший сервіс, щоб надати тим самим монетам різні форми. Вони також використовували сервіс швидкого обміну як першу стадію цього процесу. І коли? Саме тоді, коли знадобилося, щоб вкрадені кошти потрапили в потрібну суміш для реалізації наступної частини плану.
Потім всі кошти були зібрані на 0x4f9051a58b416eaa0216081d7030679f17e9b069 і розділені на дві великі частини. Частина з них була виведена через платформу рівноправного обміну Remitano. Один з гаманців, який отримав кошти, очевидно, був пов'язаний з доменом ENS fugazigambler.eth, X акаунтом @FugaziGambler та Telegram ID 5970895400, серед іншого.
Ідентифікатор Telegram та ENS були пов'язані слідчими, які корелювали активність ставок в блокчейні з повідомленнями в групі Telegram, пов'язаній з азартним проектом. Ці обставинні зв'язки, на відміну від тих, що використовувалися проти Керрі, підкріплені поведінкою в блокчейні, ідентичностями в соціальних мережах та патернами транзакцій.
Час зосередитися на розслідуванні
Цей приклад підкреслює ризики неправильного тлумачення цифрових слідів, особливо коли йдеться про щось настільки серйозне, як кіберзлочинність. Блокчейн може забезпечити ясність, необхідну для того, щоб слідувати за залишеними хлібними крихтами, але для розуміння того, що насправді відбувається, потрібне критичне мислення, контекст і розуміння технічних деталей. Сема Каррі кинули під автобус під час провалу атрибуції — тим часом справжній поганий хлопець, схоже, є окремим (or group) на ім'я «Гравець Фугазі».
Тепер правоохоронним органам слід зосередити свої зусилля на отриманні повістки на доступ до даних, пов'язаних з обліковими записами Fugazi Gambler у Telegram та X, а також провести глибший аналіз історії транзакцій з Remitano. Оскільки криміналістичний слід ще свіжий, все ще є надія на відповідальність, і, можливо, на маленьку частку справедливості для тих, хто був неправомірно обвинувачений.
Розкриття: Це не є торговою або інвестиційною порадою. Завжди проводьте власні дослідження перед купівлею будь-якої криптовалюти або інвестуванням у будь-які послуги.
Слідкуйте за нами в Twitter @themerklehash, щоб бути в курсі останніх новин про Крипту, NFT, ШІ, Кібезпеку та Метавсесвіт!
Пост Помилкова ідентичність: Як дослідника Yuga Labs неправильно пов'язали з крадіжкою фішингу Bored Ape на $1.1M вперше з'явився на The Merkle News.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Помилкова ідентичність: Як дослідника Yuga Labs помилково зв'язали з крадіжкою $1,1 млн у фішинговій схемі Bored Ape
Один із найбільш тривожних випадків помилкової ідентифікації в новітній історії криптовалют показує, як шановного білого хакера та колишнього дослідника безпеки Yuga Labs затримали в аеропорту у 2023 році за підозрою у причетності до складної фішингової атаки, яка призвела до крадіжки понад 1,1 мільйона доларів у NFT Bored Ape.
Ця подія піднімає багато питань щодо точності судово-медичних процесів правоохоронних органів, особливо в контексті все більш доступних інструментів конфіденційності та зростаючого використання децентралізованих ідентичностей.
Сем Кюррі — дослідник у Yuga Labs, який працював над аналізом фішингових загроз — став непередбачуваною мішенню через погану атрибуцію на основі IP-адреси та непорозуміння цифрового сліду, який він відстежив до справжнього нападника. Блокчейн-форензіка тепер виявляє набагато сильніші докази, що вказують на іншого підозрюваного, який все ще на свободі.
Викрадення Bored Ape: Посібник з соціальної інженерії
Він сягає корінням у грудень 2022 року, інцидент, який зовсім повертається в інший час. Жертву, захоплену 14 високо цінними NFT Bored Ape Yacht Club (BAYC), заманили в аферу з соціальною інженерією. Хто запустив цю аферу? Не дуже невинний шахрай, який маскувався під продюсера бійок, використовуючи перероблені, глибоко довірені та стародавні перевірені облікові записи X (formerly Twitter).
Використовуючи цю вигадану пропозицію як приманку, шахрай заманив жертву на фішинговий сайт. Опинившись там, жертві було запропоновано надати шахраю зловмисне право доступу. Це спрацювало. За лічені секунди всі 14 NFT були викрадені та відправлені на адресу, де їх можна було зрідити: «0x9335da37d37bc5d46850eaee48f8b9ccbe94d9a2».
Після цього нападник діяв швидко, розпоряджаючись NFT та спрямовуючи виручку через інструменти, що зберігають конфіденційність. Самі перекази були справжнім видовищем — чотири окремі партії по 100 ETH, п’ять депозитів, зауважте, по 100,000 DAI та кілька інших менших депозитів ETH. Загалом ці перекази мали на меті зробити відправника виглядати досить невинно, пересилаючи кошти через Tornado Cash.
Проте, через характерні обсяги та часи як депозитів, так і виведень, аналітики змогли з упевненістю відновити змішування транзакцій, що відбувалися в Tornado. Це був значний крок уперед у виявленні справжнього призначення коштів.
Дослідника затримано, слід неправильно прочитано
Перейти до вересня 2023 року: відомий білий хакер Сем Керрі, який зробив внески в безпеку в Yuga Labs, був затриманий правоохоронними органами в аеропорту. Сем Керрі отримав повістку великого журі у зв'язку з крадіжкою NFT на суму 1,1 мільйона доларів — звинувачення, яке здивувало та шокувало спільноту безпеки.
Справа проти Каррі, однак, швидко розгорнулася. Детективи виявили IP-адресу місця проживання Каррі в журналах OpenSea, пов'язаних з фішинговим веб-сайтом. Що вони пропустили, так це те, що Каррі отримав доступ до сайту в рамках свого власного аналізу безпеки. Виявляється, шахрай помилково залишив приватний ключ у JavaScript сайту, який Каррі використовував під час свого розслідування. Збіг IP-адреси був суто непрямим – випадком неповного контексту, що призвело до неправомірного наслідку.
В кінці кінців, повістка була скасована, але шкода вже була завдана характеру та приватності Керрі. У той же час, набагато більш помітний слід підозрюваних обережно приховувався на блокчейні.
Fugazi Gambler і стежка до Gate.io і Remitano
Після розриву переказів Tornado Cash аналітики виявили, що наступна мета була готова і чекає — криптовалютна біржа під назвою Gate.io. Кошти, які вкрали хакери, були відправлені через серію сервісів швидкісного обміну, які майже миттєво перетворили одну форму криптовалюти на іншу. А потім, використовуючи 21 різну адресу на біржі, Gate.io отримав загалом понад 105 мільйонів доларів у криптовалюті, яка для всіх практичних цілей була в стільки різних форм, скільки могла бути будь-яка раніше існуюча криптовалюта.
Лише за кілька тижнів до використання Gate.io хакери надіслали ту ж серію обмінів через інший сервіс, щоб надати тим самим монетам різні форми. Вони також використовували сервіс швидкого обміну як першу стадію цього процесу. І коли? Саме тоді, коли знадобилося, щоб вкрадені кошти потрапили в потрібну суміш для реалізації наступної частини плану.
Потім всі кошти були зібрані на
0x4f9051a58b416eaa0216081d7030679f17e9b069і розділені на дві великі частини. Частина з них була виведена через платформу рівноправного обміну Remitano. Один з гаманців, який отримав кошти, очевидно, був пов'язаний з доменом ENS fugazigambler.eth, X акаунтом @FugaziGambler та Telegram ID 5970895400, серед іншого.Ідентифікатор Telegram та ENS були пов'язані слідчими, які корелювали активність ставок в блокчейні з повідомленнями в групі Telegram, пов'язаній з азартним проектом. Ці обставинні зв'язки, на відміну від тих, що використовувалися проти Керрі, підкріплені поведінкою в блокчейні, ідентичностями в соціальних мережах та патернами транзакцій.
Час зосередитися на розслідуванні
Цей приклад підкреслює ризики неправильного тлумачення цифрових слідів, особливо коли йдеться про щось настільки серйозне, як кіберзлочинність. Блокчейн може забезпечити ясність, необхідну для того, щоб слідувати за залишеними хлібними крихтами, але для розуміння того, що насправді відбувається, потрібне критичне мислення, контекст і розуміння технічних деталей. Сема Каррі кинули під автобус під час провалу атрибуції — тим часом справжній поганий хлопець, схоже, є окремим (or group) на ім'я «Гравець Фугазі».
Тепер правоохоронним органам слід зосередити свої зусилля на отриманні повістки на доступ до даних, пов'язаних з обліковими записами Fugazi Gambler у Telegram та X, а також провести глибший аналіз історії транзакцій з Remitano. Оскільки криміналістичний слід ще свіжий, все ще є надія на відповідальність, і, можливо, на маленьку частку справедливості для тих, хто був неправомірно обвинувачений.
Розкриття: Це не є торговою або інвестиційною порадою. Завжди проводьте власні дослідження перед купівлею будь-якої криптовалюти або інвестуванням у будь-які послуги.
Слідкуйте за нами в Twitter @themerklehash, щоб бути в курсі останніх новин про Крипту, NFT, ШІ, Кібезпеку та Метавсесвіт!
Пост Помилкова ідентичність: Як дослідника Yuga Labs неправильно пов'язали з крадіжкою фішингу Bored Ape на $1.1M вперше з'явився на The Merkle News.