Кто стоит за взломом Atomic Wallet на $35 млн. Комментарии экспертов по безопасности
Представители аналитических компаний отмечают, что разработчики кошелька не содействуют расследованию и отказываются предоставить данные, подтверждающие их заявления о взломе.
В начале июня пользователи популярного криптокошелька Atomic Wallet столкнулись с массовыми кражами криптовалюты. Первая произошла еще 2 июня. С тех пор несколько аналитиков отследили хищения на сумму более $35 млн. Команда кошелька заявила, что расследует взлом, но на момент публикации не сообщала никаких деталей инцидента.
Atomic — это некастодиальный криптокошелек. В отличие от бирж такие кошельки позволяют пользователям хранить средства независимо от третьей стороны. Сервис изначально запущен в 2017 году как обменник криптовалют под названием Atomic Swap. По данным официального сайта, кошелек Atomic Wallet насчитывает более 5 млн пользователей.
Несмотря на то что стандартом в криптовалютах считается открытый исходный код, Atomic Wallet всегда держал свой код закрытым, в том числе от независимых аудиторов. Некоторые криптовалютные проекты предпочитают не раскрывать программный код, чтобы избежать копирования конкурентами. Однако пользователи, поскольку не могут просмотреть код, не могут проверить, действительно ли тот работает так, как должен, и не содержит уязвимостей. Вместо этого они вынуждены доверять разработчикам.
«Подробности тщательно скрываются»
Прозрачность блокчейна как публичного реестра переводов в криптовалютах позволяет идентифицировать адреса пострадавших кошельков и дальнейшее перемещение средств. Согласно анализу известного в криптосообществе онлайн-детектива под псевдонимом ZachXBT, хакеры украли порядка $35 млн в разных криптовалютах. С исследователем также связывались пострадавшие, предоставляя ему данные о транзакциях на кошельке. В ходе взлома были похищены средства в криптовалютах Ethereum (ETH), Dogecoin (DOGE), Litecoin (LTC), BNB (BNB) и Polygon (MATIC), а один из пострадавших лишился криптоактивов на сумму $8 млн.
Как сообщили блокчейн-аналитики Elliptic, взломщик использовал для отмывания похищенных средств популярный у хакеров из Северной Кореи криптомиксер Sinbad.io. По результатам прошлых крупных взломов расследователи подсчитали, что северокорейская хакерская группировка Lazarus Group отмыла через него более $100 млн. Аналитики не назвали сумму проведенных через миксер средств пользователей Atomic, но сообщили, что Sinbad.io — это, вероятно, переделанная версия Blender.io, сервиса, активно используемого Lazarus Group, и первого микшера, на который были наложены санкции Министерства финансов США.
Как рассказали «РБК-Крипто» представители компании MatchSystems, которая также занимается расследованиями, связанными с криптовалютами, использование микшера — единственный аргумент, связывающий северокорейских хакеров со взломом кошелька. Однако сервис публично доступен для всех желающих, а его популярность, вероятно, только возросла среди других злоумышленников после упоминаний в СМИ и блогах компаний.
«По имеющейся у нас информации, в ходе расследования со стороны руководства Atomic Wallet обратилась к нескольким компаниям, занимающимся отслеживанием криптовалют и цифровых активов. Содействие с их стороны направлено на разметку похищенных активов, но любые подробности технической стороны инцидента тщательно скрываются», — сообщил СEO компании MatchSystems Андрей Кутин. По его словам, это не позволяет провести независимую оценку взлома. Кроме того, ни одна из компаний не заявила о том, что занимается расследованием технической стороны, а команда Atomic Wallet никак не комментирует предложения о безвозмездном расследовании инцидента.
Для расследования необходимо получить так называемые логи сервера — журнал активности, в котором протоколируются все действия пользователей на сайте. По словам Кутина, в Atomic Wallet отказываются предоставить необходимые файлы как его компании, так и другим, несмотря на многочисленные запросы.
Команда Atomic Wallet «делает все возможное», чтобы вернуть украденные средства, но создание конкретного плана возможно только после окончания расследования, заявил в комментарии для Cointelegraph директор по маркетингу Atomic Wallet Роланд Седе. По его словам, отслеживание жертвами атаки незаконных переводов и сообщение о них криптобиржам могло бы помешать мошенникам выводить средства. Со своей стороны, площадка так и делает, ведь «чем больше внимания уделяется хакерам, тем сложнее им их [средства] переместить», сказал Седе. Представители кошелька не ответили «РБК-Крипто» на запрос о комментарии.
Не первый раз
8 июня представители Atomic Wallet заявили, что расследовать инцидент помогает компания Chainalisys. По информации команды, в результате взлома пострадали «менее 1%» ежемесячно активных пользователей сервиса и атака была прекращена еще в субботу, 3 июня. Но пользователи в Twitter (соцсеть заблокирована в России) в ответ на это сообщение опубликовали скриншоты, показывающие, что их средства похищали и после указанного времени.
В комментариях социального форума Reddit пользователи также пишут о пропаже средств. Один из них рассказал, что некто, представившись сотрудником технической поддержки кошелька, написал на анонимном форуме 4chan, что команда отключила уведомления на мобильной версии кошелька перед взломом и опубликовал две фотографии монитора (одна, вторая), на которых якобы открыт интерфейс службы поддержки кошелька, где накапливаются заявки пользователей в момент инцидента. Подтвердить подлинность заявленной информации не удалось, а автора публикации заблокировали модераторы сайта.
На том же Reddit на протяжении нескольких лет появляются сообщения о пропаже средств в криптовалюте с кошелька Atomic Wallet, однако при детальном рассмотрении выясняется, что зачастую пользователи обнаруживают в компьютерах вирусы или становятся жертвами фишинга, предоставляя мошенникам данные для доступа к кошельку. Но собственный подход Atomic Wallet к безопасности также критикуют эксперты из криптосообщества.
Среди них, например, исследователь кибербезопасности и разработчик криптокошелька с открытым исходным кодом MyEtherWallet Тейлор Монахан. Еще в феврале прошлого года он критиковал Atomic Wallet за бездействие в отношении уязвимостей, выявленных в ходе аудита кошелька со стороны компании Least Authority, написав, что разработчики «отказываются слушать других». В Least Authority тогда заявили, что «система Atomic Wallet недостаточно продумана с точки зрения безопасности и подвергает пользователей кошелька значительному риску».
По словам Монахана, выявленные Least Authority недостатки в системе безопасности означают, что Atomic Wallet, вероятно, «непреднамеренно сохранял» закрытые ключи пользователей, которые используются для доступа к средствам на кошельке.