Злиті понад 500 гаманців Ethereum у скоординованій атаці, кошти відмивали через ThorChain

Понад 500 гаманців Ethereum, багато з яких неактивні роками, були спустошені в скоординованій атаці, що призвела приблизно до 800 000 доларів збитків; викрадені кошти згодом були відмиті через міжланцюговий протокол ThorChain, повідомляють ончейн-дослідники. Інцидент вирізняється через вік уражених гаманців: деякі залишалися неактивними до семи років. Аналітики зазначили, що нападник націлювався на гаманці без нещодавньої активності, що викликає занепокоєння щодо прихованих вразливостей, пов’язаних зі старими практиками керування ключами або раніше скомпрометованими обліковими даними.

Цілі атаки: сплячі гаманці у масштабі

Ончейн-дані вказують на те, що скоординований набір адрес систематично спустошував кошти з сотень гаманців у короткий проміжок часу. Уражені гаманці містили ETH та інші токени, хоча індивідуальні баланси загалом були невеликими.

Дослідники відстежили, що багато скомпрометованих гаманців були створені між чотирма і вісьмома роками тому, що натякає на роль старіших методів зберігання або витоку приватних ключів. У деяких випадках користувачі повідомляли, що не мали нещодавньої взаємодії з децентралізованими застосунками чи підозрілими контрактами, що додає невизначеності щодо того, як було отримано доступ.

Нападник не повністю спорожнив кожен гаманець, тож аналітики припускають, що операція могла передбачати вибіркове націлювання за порогами балансу або стратегіями вилучення, розрахованими на уникнення виявлення.

Непрояснений вектор атаки

Однією з найважливіших рис інциденту є відсутність підтвердженої точки входу. На відміну від типових зливів гаманців, пов’язаних із фішинговими посиланнями або зловмисними схваленнями, ця атака наразі не була пов’язана з конкретним механізмом експлойту.

Дослідники безпеки припускають кілька можливих пояснень, зокрема скомпрометовані приватні ключі, вразливості в застарілому програмному забезпеченні гаманця або облікові дані, розкриті в історичних витоках даних, які лише нещодавно були використані.

Націлювання на сплячі гаманці посилило занепокоєння, адже такі адреси часто вважають безпечнішими через відсутність взаємодії з новішими протоколами. Подія руйнує цю передумову та підкреслює ризики, пов’язані з довготривалим зберіганням без періодичної ротації ключів.

Кошти перекинуті через ThorChain, щоб приховати слід

Після викрадення нападник переказав кошти через ThorChain — децентралізований міжланцюговий протокол ліквідності, який дає змогу обмінювати активи між кількома блокчейнами без централізованих посередників. Дослідники повідомили, що частину викраденого ETH було конвертовано в інші активи, щоб ускладнити відстеження. Використання міжланцюгової інфраструктури та обміну активами є поширеною тактикою в кріптоексплойтах: транзакційні маршрути дробляться, а простежуваність знижується.

Наслідки для безпеки та рекомендації

Інцидент підкреслює сталі вразливості в системах самостійного зберігання, зокрема для гаманців, створених на ранніших етапах криптоекосистеми. Оскільки індустрія розвивається, старі гаманці можуть покладатися на застарілі припущення щодо безпеки або інструменти, які більше не вважаються найкращою практикою.

Аналітики з безпеки попереджали, що сплячі гаманці можуть ставати цілями, якщо приватні ключі були розкриті через слабку ентропію, скомпрометовані пристрої або історичні витоки. Остання подія підкреслює важливість проактивних заходів безпеки, зокрема перенесення коштів у новостворені гаманці та оновлення практик зберігання.

Хоча фінансовий вплив відносно обмежений порівняно з більшими експлойтами в DeFi, сама природа атаки привернула значну увагу через незвичну стратегію націлювання та невизначену технічну причину. Для учасників ринку інцидент підсилює важливість гігієни гаманців і керування ключами, адже нападники продовжують удосконалювати методи.

Дослідники продовжують аналізувати патерни транзакцій, щоб визначити першопричину. Чіткіше розуміння експлойту може підказати майбутні рекомендації з безпеки та допомогти запобігти подібним інцидентам. Атака слугує нагадуванням, що сама лише неактивність не гарантує безпеку в крипто, і що навіть довго «заснувані» активи можуть ставати цілями в дедалі складнішому середовищі загроз.