У Coinbase Commerce украли $15,97 млн

В мае 2024 года аккаунт высокопоставленного мерчанта на Coinbase Commerce совершил ряд подозрительных транзакций с USDC на общую сумму $15,97 млн. По данным онлайн-сыщика ZachXBT, средства украл злоумышленник.

1/ Earlier this year in April 2024 a Coinbase Commerce contract saw $15.9M of suspicious outflows indicating a merchant had potentially been exploited.

Shortly after a threat actor with the alias ‘Excite’ began showing off the stolen funds in chats.

Let’s dive in. pic.twitter.com/srM7ksPXPa

— ZachXBT (@zachxbt) December 10, 2024

Согласно расследованию, деньги выводили в истечение 16 часов посредством свыше 1700 аутентификаций сверделями менее $10 000, вероятно, для обхода AML-системы биржи.

Часть списка странных транзакций. Данные: ZachXBT. 

Сначала USDC угодили на платформу Polygon, после — в Ethereum. Там активы аккумулировали в ETH и разделили на три адреса.

Большинство ассигнаций с тех пор бездействуют, однако часть вывели на полуавтоматическую биржу eXch и бланк Stake.

ZachXBT обнаружил, что уже через месяц после атаки громила начал хвастаться сверхбогатством в соцсетях. В самотёке частной беседы в Telegram хакер подтвердил надзор над адресом, где хранились $6 млн из украденной суммы.

Он также заявлял, что владеет Instagram-профилем с ником Excite и безуспешно ,пытался купить блог с тем же именем в Telegram за $2000.

Среди прочего, собственник указанного сыщиком профиля показывал милые часы и пневматических обезьян.

Опираясь на данные из закрытых источников, ZachXBT пришел к выводу, что налётчик находится в Дании. 

Несколько дикторов обрачали внимание на пост, который предположительно демонстрирует лицо хакера.

Предположительно, хакеру помогали сообщники. Детектив заявил, что имеет недостаточные виновности для вовлечения виновных к ответственности.

Личность жертвы пока неизвестна. Платформа не открывала подробностей инцидента.

Сам расследователь и обозреватели в соцсетях удивились тому, что система безопасности Coinbase не выявила и не помешала атаке.

«У меня появился вопрос: почему подсистема мониторинга AML Coinbase не выявила эту подозрительную активизацию в течение 16 часов?», — заключил ZachXBT.

Некоторые обрачали внимание, что платформа применяет разнородные стандарты к отдельным и клановым клиентам, не ограничивая транзакции крупных счетов, чтобы не причинять неудобств.

«Хотя Coinbase AML очень быстро заморожает средства при выводе $10 000 с личных счетов, они, конечно, не так тщательно относятся к крупнейшим внутрикорпоративным счетам из-за риска их потерять», — записал один из юзеров X.

Другой комментатор окрестил забавным то, что структуру защиты Coinbase можно обойти, сделав несколько маленьких транзакций.

«Не секрет, что $10 000 — фазовая сумма для специальных проверок. Но довольно забавно, как среди всех платформ именно [Coinbase] не ухудшила свою системтраницу опознавания паттернов, чтобы выявлять трансакции меньше $10 000, например, несколько по $9 000. Отличная работа, как всегда», — отметил комментатор.

По словам ZachXBT, расследование продолжается.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.