تحليل حادثة أمان Bitrefill وتتبع تدفقات الأموال المسروقة

في 17 مارس، كشفت Bitrefill رسميًا عن هجوم إلكتروني وقع في 1 مارس، وكانت طريقة الهجوم مشابهة إلى حد كبير للهجمات التي نفذتها مجموعة Lazarus / BlueNoroff ضد شركات أخرى في صناعة الأصول المشفرة. قام فريق أمن Beosin، استنادًا إلى معلومات التهديدات التي جمعها والمعلومات العامة التي أصدرتها Bitrefill، بتحليل أساليب الهجوم وتتبع الأموال، وشارك النتائج على النحو التالي:

تحليل أساليب الهجوم

وفقًا لما كشفت عنه Bitrefill، بدأ الهجوم باختراق كمبيوتر محمول لموظف وسرقة بيانات اعتماد قديمة،

صلاحية الوصول إلى المحفظة: تم تصدير 18500 سجل طلب دفعة واحدة، تشمل البريد الإلكتروني للمستخدم، العنوان المشفر، عنوان IP؛ بالإضافة إلى تزوير استهلاك بطاقات الهدايا المخزنة.

تتبع الأموال المسروقة

بالاعتماد على معلومات التهديدات وبيانات المعاملات على السلسلة، قام فريق Beosin من خلال منصة التحقيق والتتبع على البلوكشين Beosin Trace بتتبع الأموال المفقودة المتعلقة بـ Bitrefill بشكل مفصل، وشارك النتائج على النحو التالي:

حتى الآن، حدد فريق Beosin ثلاثة عناوين يُشتبه في أنها مرتبطة بحدث الاختراق لـ Bitrefill:

0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763

0x3d79f9012a13fe7948daaee3b8e9118371450d69

TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

وتوضح تدفقات الأموال كما يلي:

تحليل تدفقات الأموال المسروقة بواسطة Beosin Trace

حيث قام العنوان 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763 بتحويل 174 ETH إلى Tornado Cash. نظرًا لصعوبة تتبع الأموال عبر بروتوكولات الخلط مثل Tornado Cash، استند فريق Beosin إلى خبرته في تتبع عمليات غسيل الأموال عبر عمليات خلط متعددة، من خلال مراقبة البيانات الكاملة للإيداع والسحب، وتحليل التتابع الزمني للمعاملات، والخصائص المبلغية، وأنماط السلوك، باستخدام خوارزمية تتبع ذكية مطورة ذاتيًا، تمكن من اختراق سلسلة الأموال الخاصة بعملية الخلط، وتحديد عنوان الصرف النهائي: 0x3d79f9012a13fe7948daaee3b8e9118371450d69.

بعد ذلك، قام هذا العنوان بتحويل العملات من ETH إلى TRON عبر التبادل عبر السلسلة، حيث حول 179 ETH إلى 413,763.75 USDT. ويحتوي هذا العنوان حاليًا على 575,212.91 USDT كرصيد متراكم.

جميع العناوين المذكورة تم تصنيفها من قبل فريق Beosin KYT كعناوين عالية المخاطر، على سبيل المثال: