У квітні 2024 року обліковий запис неназваного мерчанта на Coinbase Commerce здійснив низку підозрілих транзакцій з USDC на загальну суму $15,97 млн. За даними онлайн-детектива ZachXBT, кошти вкрав зловмисник.
1/ Earlier this year in April 2024 a Coinbase Commerce contract saw $15.9M of suspicious outflows indicating a merchant had potentially been exploited.
Shortly after a threat actor with the alias ‘Excite’ began showing off the stolen funds in chats.
Let’s dive in. pic.twitter.com/srM7ksPXPa
— ZachXBT (@zachxbt) December 10, 2024
Згідно з розслідуванням, гроші виводили протягом 16 годин за допомогою понад 1700 транзакцій сумами менше ніж $10 000, імовірно, для обходу AML-системи біржі.
Частина списку підозрілих транзакцій. Джерело: ZachXBT.
Спочатку USDC потрапили на платформу Polygon, потім — в Ethereum. Там активи конвертували в ETH і розділили на три адреси.
Схема розподілу вкрадених коштів. Джерело: ZachXBT.
Більшість монет відтоді не діють, проте частину вивели на автоматичну біржу eXch і протокол Stake.
ZachXBT виявив, що вже через місяць після атаки зловмисник почав хвалитися багатством у соцмережах. Під час приватної бесіди в Telegram хакер підтвердив контроль над адресою, де зберігалися $6 млн із вкраденої суми.
Він також заявляв, що володіє Instagram-профілем із ніком Excite і марно намагався викупити обліковий запис із тим самим ім’ям у Telegram за $2000.
6/ Initially the IG account was private, the account eventually went public and has multiple stories showing off expensive watches and a monkey.
OSINT shows they potentially were in Denmark. https://t.co/grvY31RV3e pic.twitter.com/wVyfq0bb65
— ZachXBT (@zachxbt) December 10, 2024
Серед іншого, власник зазначеного розслідувачем профілю демонстрував дорогий годинник і ручних мавп.
Спираючись на дані з відкритих джерел, ZachXBT дійшов висновку, що зловмисник перебуває в Данії.
Кілька коментаторів звернули увагу на пост, який імовірно показує обличчя хакера.
This him? pic.twitter.com/DY0I5YCUjf
— Nasse Nøff (@NoffNasse) December 10, 2024
Імовірно, хакеру допомагали спільники. Детектив заявив, що має достатні докази для притягнення винних до відповідальності.
Особистість жертви поки що невідома. Платформа не розкривала подробиць інциденту.
Сам розслідувач і коментатори в соцмережах здивувалися тому, що система безпеки Coinbase не виявила і не завадила атаці.
«У мене виникло запитання: чому система моніторингу AML Coinbase не виявила цю підозрілу активність протягом 16 годин?», — підсумував ZachXBT.
Дехто звернув увагу, що платформа застосовує різні стандарти до приватних і корпоративних клієнтів, не обмежуючи транзакції великих рахунків, щоб не завдавати незручностей.
though Coinbase AML is very fast at freezing funds on personal $10k accounts on withdrawal, of course they don’t go this thorough on their big corporate accounts and risk losing them
— Leonardo Faoro (@leonardofaoro) December 10, 2024
«Хоча Coinbase AML дуже швидко заморожує кошти при виведенні $10 000 з особистих рахунків, вони, звісно, не так ретельно ставляться до великих корпоративних рахунків через ризик їх втратити», — написав один із користувачів X.
Інший коментатор назвав комічним те, що систему захисту Coinbase можна обійти, зробивши кілька невеликих транзакцій.
10k is the limit for extra scrutiny, that's no secret. But it's pretty comical how cb of all places didn't improve their system on flagging patterns for total amounts to detect sub 10k transfers. Such as several 9k.
gj as always.
— Snorlax of Pizza Street (@OfSnorlax) December 10, 2024
«Не секрет, що $10 000 — порогова сума для додаткових перевірок. Але досить кумедно, як серед усіх платформ саме [Coinbase] не покращила свою систему виявлення патернів, щоб виявляти транзакції, менші за $10 000, наприклад, кілька по $9 000. Відмінна робота, як завжди», — зазначив коментатор.
За словами ZachXBT, розслідування триває.
Нагадаємо, 9 грудня в Coinbase відреагували на чутки про масове блокування акаунтів.
