19 февраля пришла в движение часть средств, похищенных в результате январского взлома сингапурской криптовалютной биржи Phemex. На это обратили внимание аналитики Global Ledger.
Более 2080 ETH (~$6 млн) поступило на 14 новых адресов. Менее 4000 ETH остаются в основном Ethereum-кошельке, связанном с атакой.
Эксперты указали на запутанную серию транзакций и взаимодействие со множеством платформ и протоколов, что может указывать на большой опыт работы с блокчейном у киберпреступников.
В частности, один недавно созданный кошелек получил 601,34 ETH через пять отдельных переводов, прежде чем средства консолидировались на другом новом адресе кроссчейн-моста Across Protocol. Затем их дополнительно запутали при отправке на второй адрес сервиса.
Помимо прямых переводов на миксеры Tornado Cash и eXch для анонимизации средств, хакеры использовали платформу Wintermute, протоколы DLN Trade и THORChain для обмена активами.
Часть средств поступила на кастодиальные платформы, включая OKX и CoinEx, но большинство перемещений осуществлялось с использованием ончейн-инструментов, таких как кроссчейн-сервисы Bitget и кошелек ChangeNOW.
По наблюдению Global Ledger, до этой серии транзакций хакеры переводили похищенные активы в течение последних нескольких недель, включая слив 50 BTC и 4 млн XRP.
На данный момент Phemex уже возобновила торговую деятельность и предостерегла клиентов от использования старых депозитных адресов. Генеральный директор Федерико Вариола заявил, что часть биржевых средств переместят в холодное хранилище в рамках «всеобъемлющего обновления безопасности».
Напомним, 23 января аналитики Cyvers Alerts выявили «множественные подозрительные транзакции» с использованием горячих кошельков Phemex. Как выяснилось позднее, атака включала более 275 транзакций только с использованием EVM-цепочек.
По последним оценкам, ущерб составил $85 млн. Эксперты предположили причастность к инциденту связанных с КНДР хакеров.
