Jak hakerzy w pięć minut skradli miliard rubli z rosyjskiej giełdy kryptowalut
Hakerzy wyprowadzili z giełdy Grinex ponad 1 mld rubli (około 14 mln USD) w ciągu pięciu minut, wykorzystując przemyślaną metodę obejmującą usługi zdecentralizowane i dzielenie środków. To nie był przypadkowy atak — była to zaplanowana wcześniej operacja, która pokazuje, jak bardzo podatne na zagrożenia mogą być nawet duże platformy, jeśli nie stosują podstawowych zasad bezpieczeństwa.
Jak przebiegał atak: trzy kroki do zniknięcia miliarda
Specjaliści platformy AML „CoinKit” odtworzyli ciąg wydarzeń. Wszystko zaczęło się od jednoczesnego wypłacenia tokenów stabilnych USDT z 54 portfeli — 48 w sieci TRON (TRC-20) i 5 w Ethereum (ERC-20). Środki te niemal natychmiast trafiły na dwa adresy w sieci TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs oraz TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D.
Następnie sprawcy wykonywają czynność utrudniającą śledztwo: konwertują USDT na native kryptowalutę sieci TRON — TRX — za pośrednictwem zdecentralizowanego protokołu SUN.io (część ekosystemu SunSwap). To podobne do sytuacji, w której złodziej kradnąc dolary natychmiast wymienia je na euro w kantorze bez dokumentów — ślad znika.
Ostateczny etap: wszystkie TRX zostały zebrane na jednym adresie — TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa. Ten portfel jest obecnie monitorowany przez analityków, ale odzyskanie środków bez współpracy z organami ścigania i ekspertami blockchain jest praktycznie niemożliwe.
Dlaczego to nie „zwykły” atak
Zazwyczaj hakerzy działają chaotycznie: zabierają i uciekają. Tutaj jednak widać wyraźny plan:
- Masowy wypływ środków z dziesiątek adresów jednocześnie — aby system bezpieczeństwa nie zdążył zareagować.
- Zmiana typu aktywa poprzez DEX (zdecentralizowaną giełdę) — aby utrudnić śledzenie.
- Konsolidacja środków na jednym portfelu — w celu dalszego wypłacenia lub przekonwertowania na gotówkę.
„To nie jest typowy hak, lecz złożona, wcześnie zaplanowana operacja” — podkreślił dyrektor generalny „CoinKit” Vitalij Gorbienko. Zauważył, że zautomatyzowany charakter procedury świadczy o wysokim stopniu przygotowania sprawców.
Ciekawe, że ofiarą ataku stała się nie tylko Grinex. Usługa TokenSpot straciła około 5000 USD, a te środki również trafiły na ten sam końcowy adres. Wskazuje to na to, że hakerzy testowali swoją metodę lub wykorzystali ten sam wektor ataku przeciwko kilku platformom.
Co jest ważne
- Wysokość szkody: ok. 1 mld rubli (14 mln USD), głównie w USDT.
- Metoda: dzielenie środków → konwersja przez DEX → konsolidacja.
- Sieć: główna aktywność w TRON, częściowo w Ethereum.
- Podejrzani: brak dowodów na udział służb specjalnych; najprawdopodobniej grupa przestępcza.
- Status portfeli: już oznaczone w systemach AML, wszystkie transakcje są śledzone.
Co to oznacza dla zwykłych użytkowników?
Jeśli przechowujesz kryptowaluty na giełdzie — zwłaszcza mało znanej lub regionalnej — Twoje środki mogą znajdować się w strefie ryzyka. Nawet „gorące portfele” (te, z których można szybko wypłacać środki) wymagają wielopoziomowej ochrony. Hakerzy nie łamią już tylko haseł — stosują złożone schematy finansowe przypominające bankowe ataki rajdowe.
Najlepszą ochroną jest przechowywanie większości aktywów poza giełdami, w tzw. „zimnych portfelach” (urządzeniach sprzętowych lub magazynach offline). Giełdy warto wybierać takie, które przeszły niezależny audyt bezpieczeństwa i oferują ubezpieczenie aktywów.
Na koniec takie incydenty przypominają nam: rynek kryptowalut nadal jest dziki i niebezpieczny. Ale właśnie dlatego powstają firmy takie jak „CoinKit” czy TRM Labs — uczyniają go nieco bezpieczniejszym, śledząc podejrzane przepływy w czasie rzeczywistym.
— Editorial Team