Jak hackeré za pět minut ukradli miliardu rublů z ruské kryptoburzy
Hackeré za pět minut vyvedli z burzy Grinex více než 1 miliardu rublů (asi 14 milionů USD), a to pomocí promyšleného schématu, které zahrnovalo decentralizované služby a rozdělení prostředků. Toto nebyl náhodný útok — šlo o předem připravenou akci, jež ukazuje, jak zranitelné mohou být i velké platformy, pokud nejsou dodržována základní bezpečnostní pravidla.
Jak proběhla útok: tři kroky k zmizení miliardy
Odborníci AML-platformy CoinKit rekonstruovali řetězec událostí. Vše začalo současným výběrem stablecoinu USDT z 54 peněženek — 48 v síti TRON (TRC-20) a 5 v síti Ethereum (ERC-20). Tyto prostředky se téměř okamžitě dostaly na dvě adresy v síti TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs a TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D.
Poté pachatelé provedli krok, který komplikuje vyšetřování: převedli USDT na nativní kryptoměnu TRON — TRX — prostřednictvím decentralizovaného protokolu SUN.io (součást ekosystému SunSwap). Je to podobné tomu, jako by zloděj ukradené dolary ihned vyměnil za eura v bezdokumentní směnárně — stopa se ztrácí.
Finální fáze: veškeré TRX byly shromážděny na jediné adrese — TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa. Tato peněženka je nyní pod dohledem analytiků, avšak vrácení prostředků bez spolupráce s orgány činnými v trestním stíhání a blockchainovými experty je téměř nemožné.
Proč to není „obyčejný“ útok
Obvykle hackeré jednají chaoticky: vezmou a odejdou. Zde však šlo o jasný plán:
- Masivní výběr z desítek adres najedou — aby bezpečnostní systém nestihl zareagovat.
- Změna typu aktiva prostřednictvím DEX (decentralizované burzy) — aby se ztížilo sledování.
- Konsolidace na jediné peněžence — pro další výběr nebo vyplacení.
„Toto není běžný útok, ale komplexní, předem naplánovaná akce,“ zdůraznil generální ředitel CoinKit Vitalij Gorběnko. Poznamenal, že automatizace celého procesu svědčí o vysoké úrovni přípravy pachatelů.
Zajímavé je, že postižena byla nejen Grinex. Služba TokenSpot přišla o zhruba 5 000 USD, a tyto prostředky se také objevily na stejné finální adrese. To naznačuje, že hackeré buď testovali dané schéma, nebo použili stejný vektor útoku proti několika platformám.
Co je důležité
- Výše škody: asi 1 miliarda rublů (14 milionů USD), převážně v USDT.
- Metoda: rozdělení → konverze prostřednictvím DEX → konsolidace.
- Síť: hlavní aktivita probíhala v síti TRON, částečně i v síti Ethereum.
- Podezřelí: nejsou známy žádné známky zapojení speciálních služeb; pravděpodobně jde o kriminální skupinu.
- Stav peněženek: již označeny v AML-systémech, všechny transakce jsou sledovány.
Co to znamená pro běžné lidi?
Pokud uchováváte kryptoměny na burze — zejména na málo známé nebo regionální — vaše prostředky mohou být v ohrožení. Dokonce i „horké peněženky“ (ty, ze kterých lze prostředky rychle vyvést) vyžadují víceúrovňovou ochranu. Hackeré již neprobíjejí jen hesla — používají složité finanční schémata, podobná bankovním raiderským útokům.
Nejlepší ochranou je uchovávat většinu aktiv mimo burzy, v tzv. „studených peněženkách“ (hardwarových zařízeních nebo offline úložištích). Burzy si navíc vyberte takové, které absolvovaly nezávislý bezpečnostní audit a mají pojištění aktiv.
Nakonec takové incidenty připomínají: kryptotrhy jsou stále divoké a nebezpečné. Právě proto vznikají firmy jako CoinKit nebo TRM Labs — díky sledování podezřelých toků v reálném čase je činí trochu bezpečnějšími.
— Editorial Team