В апреле 2024 года аккаунт неназванного мерчанта на Coinbase Commerce совершил ряд подозрительных транзакций с USDC на общую сумму $15,97 млн. По данным онлайн-сыщика ZachXBT, средства украл злоумышленник.
1/ Earlier this year in April 2024 a Coinbase Commerce contract saw $15.9M of suspicious outflows indicating a merchant had potentially been exploited. Shortly after a threat actor with the alias ‘Excite’ began showing off the stolen funds in chats. Let’s dive in. pic.twitter.com/srM7ksPXPa— ZachXBT (@zachxbt) December 10, 2024
Согласно расследованию, деньги выводили в течение 16 часов посредством свыше 1700 транзакций суммами менее $10 000, вероятно, для обхода AML-системы биржи.
Часть списка подозрительных транзакций. Данные: ZachXBT.
Сначала USDC попали на платформу Polygon, после — в Ethereum. Там активы конвертировали в ETH и разделили на три адреса.
Схема распределения украденных средств. Данные: ZachXBT.
Большинство монет с тех пор бездействуют, однако часть вывели на автоматическую биржу eXch и протокол Stake.
ZachXBT обнаружил, что уже через месяц после атаки злоумышленник начал хвастаться богатством в соцсетях. В ходе частной беседы в Telegram хакер подтвердил контроль над адресом, где хранились $6 млн из украденной суммы.
Он также заявлял, что владеет Instagram-профилем с ником Excite и безуспешно пытался выкупить аккаунт с тем же именем в Telegram за $2000.
6/ Initially the IG account was private, the account eventually went public and has multiple stories showing off expensive watches and a monkey. OSINT shows they potentially were in Denmark. https://t.co/grvY31RV3e pic.twitter.com/wVyfq0bb65— ZachXBT (@zachxbt) December 10, 2024
Среди прочего, владелец указанного расследователем профиля демонстрировал дорогие часы и ручных обезьян.
Опираясь на данные из открытых источников, ZachXBT пришел к выводу, что злоумышленник находится в Дании.
Несколько комментаторов обратили внимание на пост, который предположительно показывает лицо хакера.
This him? pic.twitter.com/DY0I5YCUjf— Nasse Nøff (@NoffNasse) December 10, 2024
Предположительно, хакеру помогали сообщники. Детектив заявил, что имеет достаточные улики для привлечения виновных к ответственности.
Личность жертвы пока неизвестна. Платформа не раскрывала подробностей инцидента.
Сам расследователь и комментаторы в соцсетях удивились тому, что система безопасности Coinbase не выявила и не помешала атаке.
«У меня возник вопрос: почему система мониторинга AML Coinbase не выявила эту подозрительную активность в течение 16 часов?», — заключил ZachXBT.
Некоторые обратили внимание, что платформа применяет разные стандарты к частным и корпоративным клиентам, не ограничивая транзакции крупных счетов, чтобы не причинять неудобств.
though Coinbase AML is very fast at freezing funds on personal $10k accounts on withdrawal, of course they don’t go this thorough on their big corporate accounts and risk losing them— Leonardo Faoro (@leonardofaoro) December 10, 2024
«Хотя Coinbase AML очень быстро замораживает средства при выводе $10 000 с личных счетов, они, конечно, не так тщательно относятся к крупным корпоративным счетам из-за риска их потерять», — написал один из пользователей X.
Другой комментатор назвал комичным то, что систему защиты Coinbase можно обойти, сделав несколько небольших транзакций.
10k is the limit for extra scrutiny, that's no secret. But it's pretty comical how cb of all places didn't improve their system on flagging patterns for total amounts to detect sub 10k transfers. Such as several 9k.gj as always.— Snorlax of Pizza Street (@OfSnorlax) December 10, 2024
«Не секрет, что $10 000 — пороговая сумма для дополнительных проверок. Но довольно забавно, как среди всех платформ именно [Coinbase] не улучшила свою систему обнаружения паттернов, чтобы выявлять транзакции меньше $10 000, например, несколько по $9 000. Отличная работа, как всегда», — отметил комментатор.
По словам ZachXBT, расследование продолжается.
Напомним, 9 декабря в Coinbase отреагировали на слухи о массовой блокировке аккаунтов.
