Хищение токенов Tether: что нам удалось выяснить

Каждую. Неделю. Случается что-то серьёзное. На прошедшей неделе таким событием стала была кульминация сомнений относительно Tether и Bitfinex, разговоры о связи между которыми не умолкают в сообществе в течение уже нескольких месяцев – в основном благодаря постоянному потоку алармистских твитов от анонимного аккаунта @Bitfinexed.

Обсуждаемые инсинуации выглядят следующим образом:
1) Bitfinex и Tether представляют собой единую сущность, контролируемую одними и теми же людьми.
2) Tether выпускает токены USDT по собственному усмотрению, не обеспечивая их реальными долларами.
3) Затем эти токены используются на Bitfinex для накачивания цены BTC и эффективного манипулирования рынком в других торговых парах с USDT.
4) Многие также считают, что Bitfinex работает по модели частичного резерва и не имеет достаточных средств для того чтобы обеспечить все пользовательские депозиты.

И в самый разгар этих разговоров Bitfinex опубликовали престранный твит с утверждением о собственной платёжеспособности.

Странно. А на следующий день Tether сообщили о взломе и хищении токенов на сумму 30 млн долларов.

Даже в «Нью-Йорк таймс» вышла большая статья, которая, кстати, может служить отличным справочником и кратким изложением всей этой истории.

С некоторого расстояния и не имея полной информации, трудно судить о том, что произошло на самом деле, однако отсутствие прозрачности никогда не бывает хорошим признаком, и это делает всю историю чрезвычайно подозрительной. Если Bitfinex и Tether действительно прозрачны и чисты, они явно не очень-то стараются донести эту информацию до пользователей.
Мы надеемся в скором времени получить больше информации на этот счёт, чтобы можно было понять, приближаемся ли мы к очередному краху масштаба Mt.Gox или нет.

На этой неделе мы привлекли наших добрых друзей из Neutrino, которые любезно согласились изучить следы, оставленные хакером…

Изучение следов взлома Tether

Предоставлено Джанкарло и Альберто из Neutrino, создателями криптоплатформы P-Flow. Это является предметом их профессиональной деятельности: они производят глубокий анализ данных о транзакциях и имеют опыт разработки исследовательских киберинструментов.

Что произошло?

19 ноября команда Tether объявила о факте хищения хакером из казначейского кошелька Tether токенов на сумму 31 миллион долларов. Заявление было сделано с целью предупредить сторонних интеграторов Tether о риске сбоя, который могут повлечь за собой эти события.

Контекст

Tether (USDT) – это токены, выпускаемые на основе блокчейна Биткойна и распространяемые на платформе для создания токенов Omni. Токены Tether создавались, чтобы поддерживать фиксированный обменный курс 1:1 с USD. Это позволяет криптовалютным биржам включать торговые пары криптовалют с USDT без необходимости внедрять процедуру депонирования фиатных валют и ограничиваясь листингом исключительно криптовалют.

С технической точки зрения, USDT – это токены, созданные на основе протокола Omnilayer, промежуточного уровня, позволяющего создавать цифровые активы поверх блокчейна Биткойна. Проще говоря, токены перемещаются путём выполнения биткойн-транзакций (даже с использованием всего нескольких сатоши), а метаданные транзакции затем перемещают токены USDT в соответствии с запросом пользователя (например, возможно создать транзакцию на сумму 0,00001 биткойна, посредством которой на самом деле будет передано 10 млн USDT).

Транзакции в USDT включают поля “Issuer» (эмитент) (адрес 3MbYQMMmSkC3AgWkj9FMo5LsPTW1zBTwXL), ответственный за создание новых токенов Tether, и “Treasury» (казначейство) (3BbDtxBSjgfTRxaBUgR2JACWRukLKtZdiQ), ответственное за передачу токенов по месту назначения, указанному пользователем (https://tether.to/wp-content/uploads/2017/09/Final-Tether-Consulting-Report-9-15-17_Redacted.pdf).

В интернете можно также найти список адресов, на которых хранится наибольшее количество токенов Tether (https://wallet.tether.to/richlist). Большинство из них принадлежат крупнейшим и наиболее известным криптовалютным биржам.

События и технический анализ

Недавно очень значительные суммы токенов Tether поступили на адрес, приписываемый Bitfinex (1KYiKJEfdJtap9QX2v9BXJMpz2SfU4pgZw).

До этого момента всегда соблюдалась такая последовательность:

Эмитент -> Казначейство -> Bitfinex

Но 19 ноября Treasury отправил 30,9 млн USDT на новый адрес: 31okFF1rUu8jjPEVuajycTRBp82Nteo4Mv, с которого они, в свою очередь, немедленно были переведены на 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r.

В онлайн-сообществе кто-то обратил внимание на то, что этот адрес отличался от обычного, принадлежащего Bitfinex, однако это выглядело как легитимное изменение адреса.

20 ноября Tether на своём сайте объявили о том, что в результате авторизованного доступа к их платформе было похищено 30,9 млн USDT. В качестве необходимой критической меры команда Tether провела «экстренный» хард-форк, чтобы не позволить владельцу адреса 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r, на который были переведены украденные 30,9 млн USDT, потратить их. Все биржи, поддерживающие USDT, должны были немедленно установить новую исправленную версию слоя Omni.

Стоит отметить, что в результате этих событий стоимость токенов USDT на бирже Kraken (единственной бирже с поддержкой торговой пары USD/USDT) упала до 0,906 долларов.

Поскольку USDT представляют собой токены, выпущенные на Omnilayer – дополнительном слое, основанном на блокчейне Биткойна – можно проанализировать транзакции Биткойна, связанные с проведением транзакций USDT.

Прежде всего, можно идентифицировать транзакцию, перемещающую 10 USDT из Treasury на адрес 31okFF1rUu8jjPEVuajycTRBp82Nteo4Mv. Это похоже на тестовую транзакцию с целью проверки процесса трансфера USDT. В течение последующих нескольких часов было переведено около 30,9 млн USDT, разбитых на 6 транзакций на суммы, соответственно, 1 млн, 1 млн, 1 млн, 10 млн, 10 млн и 7,9 млн.

Как мы уже упоминали ранее, аварийный патч, выпущенный командой Tether, не позволил хакеру потратить 30,9 млн токенов, которые были украдены и выведены на адрес 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r. Однако интересно отметить, что в чрезвычайной ситуации ничего не было сказано об адресе 31okFF1rUu8jjPEVuajycTRBp82Nteo4Mv.

Он впервые появился в блокчейне 19 ноября в качестве адреса, на который было переведено 0,01 биткойна с 1LBQpqUTEmdPTH8adaV6xS8KQt6FGCD3xD. Можно небезосновательно предположить, что целью этой транзакции было обеспечить адрес достаточными средствами для выполнения последующих транзакций по выводу USDT на кошелёк 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r.

Это, в свою очередь, вероятно, меняет адресата транзакции, инициированной 16KYFJiAoM4aX82xw2V3YBHX72trWNhz48 (часть коинов, украденных с кошелька BitStamp), на 1Ci3XEy71dGZ3ZDWF2CiVgsiAStt9WG5LX (эмитент LionCoin).

0_m_cbsPHwNF_xGZw_.png

Проследить этот путь без специальных инструментов непросто, поэтому подытожим информацию, которую нам удалось собрать:

Снимок экрана 2017-12-03 в 1.51.08.png

 

 

Заключение:

  • Адреса «Кража Tether – заблокирован” и “Эмитент LionCoin”, скорее всего, связаны с адресом «Коины, украденные с Bitstamp».
  • После того, как 5 BTC были отправлены с адреса «Казначейство» на адрес «Кража Tether,» мы склонны считать, что этот адрес скомпрометирован. К сожалению, обновлённая информация на сайте Tether не помогает пролить свет на то, что именно произошло, поскольку не проясняет никаких технических деталей.
  • Средства с кошелька Bitfinex были отправлены на адрес эмитента LionCoin непосредственно перед этими событиями. Следовательно, у Bitfinex есть возможность исследовать эту проблему более подробно.
  • Секретный ключ «казначейского» Tether-кошелька скомпрометирован, так как злоумышленник сумел вывести находящиеся в нём биткойны и USDT. До тех пор, пока мы не будем лучше понимать детали произошедшего, этот адрес следует считать небезопасным.

Источник



Рубрики:Проишествия, Сообщество, эфир

Метки: ,

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s