Криптооператоры сталкиваются с растущим давлением со стороны правоохранительных органов, поскольку следователи обнаруживают более глубокие связи между такими сервисами, как Inferno Drainer, и высокопоставленными злоумышленниками.
Крупные криптовалютные гиганты, такие как Inferno и Pink, попали в заголовки газет в этом году, объявив о своем уходе на пенсию, но жертвы продолжают терять ошеломляющие суммы.
Специалист по сливу криптовалют обычно обманывает пользователя, заставляя его подключить кошелек и одобрить транзакцию, которая истощает средства пользователя.
По данным Scam Sniffer, в октябре из-за фишинговых схем было потеряно более 20 миллионов долларов. В то время как месячный объем снизился на 56% по сравнению с сентябрем, число жертв — 12 058 — подскочило на 20% по сравнению с предыдущим месяцем.
Алекс Кац, генеральный директор и соучредитель плагина безопасности интернет-браузера Kerberus, сказал Cointelegraph, что объем истощения может меняться из месяца в месяц в зависимости от рыночных условий, но растущее число жертв вызывает тревогу.
Между тем, правоохранительные органы и компании, занимающиеся кибербезопасностью, все лучше ловят киберпреступников. «Мы думаем, что [дренажные заводы закрываются], потому что они заработали слишком много. Если они продолжат, это только вопрос времени, когда правоохранительные органы найдут их или их сообщников», — сказал Кос, основатель MistTrack.
Например, Tether, крупнейший в мире эмитент стейблкоинов, недавно заморозил как минимум три кошелька, подключенных к операциям дренажа.
В то время как Tether не ответил на запрос о комментариях, частный детектив, который, как подтвердил Cointelegraph, работает с властями над делами об утечке криптовалюты, сказал, что три кошелька были заморожены по запросу правоохранительных органов.
Следователь работает с властями, чтобы выследить подозрительную сущность, известную как Конпил. Недавнее расследование журнала Cointelegraph связало Konpyl и связанные с ним кошельки с мошенничеством с поддельным кошельком Rabby, в результате которого у жертв высосалось около 1,6 миллиона долларов.
Доказательства вне сети, рассмотренные журналом в ходе расследования, выявили связи между онлайн-персоной Konpyl и генеральным директором криптовалюты из Дубая, который отрицал какие-либо правонарушения и утверждал, что стал жертвой шантажа.
Последнее трио аккаунтов, замороженных Tether, делится ссылками не только на кошельки drainer, но и на Konpyl.
Адреса USDT из черного списка подключены к дренажным системам и Konpyl. (Черный список USDT)
По крайней мере, «[Konpyl] является большим клиентом дренажных систем», — сказал следователь Cointelegraph. «[Konpyl] в основном использует Inferno Drainer, но также экспериментировал с Pink Drainer», — сказал следователь.
Верхние сушильные машины отсоединяются
Специалисты по очистке криптовалют часто работают, используя уязвимости в смарт-контрактах, фишинговые атаки или тактику социальной инженерии для получения доступа к кошелькам.
Они создаются разработчиками, которые продают доступ нелегальным субъектам, позволяя им проводить эксплойты и последующие кражи в обмен на плату. Эта модель стала известна как модель «мошенничество как услуга».
«Один из сдвигов в мышлении, который вам нужно сделать, заключается в том, что дренажные машины — это бизнес», — сказал Кац. «Если вы на самом деле посмотрите на транзакции по сливу, то увидите, что большой процент идет человеку, который установил дренаж, потому что он берет комиссию».
На протяжении многих лет эти программные инструменты продавались под собственными брендами, а такие сервисы, как Inferno, Pink и Monkey Drainer, набирали популярность.
Эти трое не единственные истощатели, но у них есть общая черта. Все они объявили о закрытии, а Inferno была последней, которая отключилась в октябре. Inferno утверждала, что ее услуги перешли к Angel Drainer.
Inferno Drainer объявила о том, что ее услуги перешли к Angel Drainer в объявлении от 19 октября. Источник: Scam Sniffer
Monkey Drainer был одним из первых, кто использовал модель дренажа SaaS. Он закрылся в марте 2023 года, затем появилась следующая партия дренажных систем, в том числе Inferno и Pink.
Pink Drainer якобы был разработан бывшим членом сообщества безопасности, который помогал бороться с Monkey Drainer, а затем перешел на темную сторону. Pink Drainer объявила о своем уходе на пенсию в мае 2024 года, собрав около 85 миллионов долларов от более чем 21 000 жертв.
О последнем закрытии Inferno было объявлено через несколько дней после того, как Tether заморозил три кошелька 16 октября, в тот же день, когда было опубликовано расследование журнала Cointelegraph о Konpyl и поддельном кошельке Rabby.
Связь Inferno и Konpyl
Данные Onchain свидетельствуют о связи между учетными записями, связанными с Konpyl, и учетными записями, связанными с Inferno, хотя эксперты по безопасности представили различные анализы специфики.
Один из примеров отношений в цепочке связан с инцидентом в марте 2024 года, когда жертва потеряла 4,39 миллиона долларов в криптовалюте из-за криптовора, оснащенного набором Inferno Drainer.
Сообщество безопасности вынюхивает связанную с Inferno атаку на истощение и разоблачает незаконные кошельки, которые они используют. (Сниффер)
Часть украденных токенов была сожжена с помощью блокчейн-детектива ZachXBT, но другие были консолидированы и отправляются в 0x344... 12ac3, который, как подозревает охранная фирма MistTrack, принадлежит Inferno Drainer. Здесь около 767 610 долларов в обернутом эфире входят в DeFi-платформу CoW Protocol.
С другой стороны, эту сумму получает 0x87B... A53d92 (CoW Output) в Tether (USDT).
Анализ, проведенный MistTracks, показал консолидацию незаконных средств. (MistTrack)
По этому выходному адресу CoW можно вывести связь с Konpyl.
Выходной адрес содержит три транзакции с 0xF2F... 6a608, дважды в августе 2022 года и один раз в мае 2024 года. Первая из трех транзакций — это транзакция пополнения этого 0xF2F кошелька или первый зарегистрированный перевод на этот счет.
0xF2F привязан к аккаунту, связанному с Konpyl, через семь транзакций, датированных октябрем 2023 года, на общую сумму около полумиллиона долларов, что делает 0xF2F кошелек мостом, соединяющим схему, связанную с Inferno Drainer в марте 2024 года, и организацию, связанную с инцидентом с поддельным кошельком Rabby в 2024 году.
Распаковка движений средств
Эти движения, по мнению частного детектива, позволяют предположить, что существо, известное как Конпил, может быть основным пользователем Inferno Drainer или иметь еще более глубокое участие.
Тем не менее, Фэнтези, ведущий специалист по расследованию в криптостраховой компании Fairside Network, придерживается другого мнения.
Фэнтези сообщил Cointelegraph, что также возможно, что ни один из кошельков, идентифицированных до входа в протокол CoW, на самом деле не принадлежит Inferno Drainer. Скорее, все кошельки могут принадлежать клиентам Inferno Drainer.
«Клиент Inferno добровольно не откажется от большего количества краж. Более вероятное объяснение заключается в том, что это клиент, консолидирующий доходы от кражи», — сказал он Cointelegraph, указывая на транзакции, которые показывают, что комиссии за слив были выплачены на отдельный кошелек.
Сборы, уплаченные Inferno, позволяют предположить, что последующее перемещение могло быть совершено клиентом Inferno. (Эфирскан)
Фэнтези также представил альтернативу тому, почему Конпил может быть связан с подвигами.
«Интересно, является ли он внебиржевым трейдером, и злоумышленники используют его для отмывания денег. Это может привести к объяснению того, почему выходы Rhino от Konpyl консолидируются именно так», — предположил Fantasy, анализируя ончейн-движения Konpyl, обобщенные октябрьским расследованием журнала Cointelegraph.
«Сокрытие движений с помощью внебиржевых трейдеров не является редкой тактикой. Обычно такого рода трейдеров не волнует, откуда поступают средства, если они получают свою плату».
Эксперты в области правоохранительных органов и безопасности сокращают разрыв
Между тем, Фан, основатель Scam Sniffer, сообщил Cointelegraph, что постоянные взносы таких организаций, как MistTrack, Scam Sniffer и группа безопасности SEAL 911, способствуют занесению незаконных адресов в черный список.
Охранная фирма Blockaid задается вопросом, готовится ли Inferno Drainer к тому, чтобы уйти в закат. (Блокаид)
Существуют также расширения для интернет-браузеров, такие как Kerberus, в то время как кошельки все чаще интегрируют сервисы безопасности пользователей, такие как Blockaid.
«Для их безопасности закрытие было неизбежным», — сказал Фан. «Будь то Inferno Drainer или Pink Drainer, это всего лишь услуги, которыми пользуются мошенники. Настоящие преступники скрываются за этими названиями водостоков».
Тем не менее, Кац из Kerberus предупреждает, что к отключениям в мире истощателей криптовалют следует относиться с долей скептицизма, поскольку они могут играть в опоссума, как это было с «выходом на пенсию» Inferno в ноябре 2023 года, только для того, чтобы вернуться и сеять хаос в течение половины 2024 года.
«Они могут сказать, что закрылись для охранных компаний, чтобы ослабить бдительность. Но в конце концов они могут провести ребрендинг под новым именем [и] вернуться обратно», — сказал Кац.
«Это преступники — давайте проясним это. Вы не можете доверять преступникам, что бы они ни говорили».
