История одного ограбления

История одного ограбления

24 марта появилась информация о взломе TON-кошелька и краже более 4 000 000 TON (~$ 9 000 000), некоторые детали:

— Кража произошла в одну транзакцию, перед которой был произведен тестовый перевод 0.5 TON.

3 526 816 TON пришли с биржи OKX за день до кражи.

605 415 TON были подарены кем-то приближенным к TON Foundation. Всего подарено 1 020 000 TON, но 414 584 TON всё ещё лежат на промежуточном кошельке.

— Перевод 4 070 246 TON был осуществлен 23 марта в 20:14:44 по Москве на кошелек злоумышленника, который уже помечен как SCAM в эксплорере Tonscan.

— На кошельке присутствует NFT TON FAM, значит человек присутствовал на встрече в Дубае в прошлом году. Но на тот момент кошелек был пуст.

Одна из активных участников комьюнити TON по имени Анастасия поделилась своей аналитикой:

При изучении транзакций в эксплорере Tonscan можно увидеть, что чуть ранее на адрес злоумышленника поступили около 60 000 TON с этого адреса, вся сумма была разделена на 4 транзакции, которым также предшествовала тестовая транзакция в 0.5 TON.

Основные адреса, участвующие во второй истории:
9-gb пострадавший
NGPw неизвестный (пострадавший или злоумышленник)
_Rpa злоумышленник.

Для понимания того, была ли это кража или какой-то другой вид активности, можно пойти путем изучения последующих, после кражи транзакций и методом отслеживания истории TON до момента кражи.

И так, откуда 4 000 000 TON у пострадавшего(9-gb)? Судя по активности этот адрес не является активным трейдером или ранним майнером, а получил монеты с адреса NGPw.

История активности у 9-gb небольшая: обмен тестовыми транзакциями с NGPw и далее транзакция на 4 000 000 TON из NGPw на 9-gb.

Разница во времени между транзакциями NGPw9-gb и кражей составила 10 минут. Можно предположить, что злоумышленник заранее знал о поступлении на 9-gb значительного количества TON.

Опять же зачем в этой цепи NGPw пока можно только предполагать. Например NGPw и _Rpa в сговоре? Подтверждений этому нет.

Откуда появился TON у NGPw. Во-первых отметим, что адрес свежий, также как 9-gb и _Rpa. На адрес токены поступили в виде четырех транзакций: с биржи OKX, плюс NGPw пополняется по P2P на 605 415 TON. Итак, накануне игры между тремя главными участниками, на балансе NGPw генерируется около 4 132 231 TON. Напомним, что 60 000 из них NGPw направляются напрямую к _Rpa, а 4 млн TON уходят к 9-gb и уже оттуда к _Rpa.

Если представить, что NGPw адрес злоумышленника (-ов), то вырисовывается следующая картина: NGPw закупается, вовлекает в игру неопытного 9-gb. Для отвода глаз со своего адреса делает _Rpa небольшую, относительно четырех миллионов, транзакцию, а потом продает 4 ляма TON 9-gb, откуда (предположительно имея доступ к сид-фразе 9-gb) уводит их на _Rpa.

Другой сценарий. NGPw такая же жертва, как и 9-gb, и возможно даже одно и тоже лицо. Но тогда не понятно, как опытный, судя по закупкам на бирже, инвестор упускает seed-фразу.

Еще один сценарий. NGPw и 9-gb — разные люди. NGPw, как более опытный, закупает TON для себя и друга для совместной сделки с _Rpa, но что-то идет не так.

_Rpa в течение суток чрезвычайно активно делает транзакции на различные биржи и адреса, обналичивает монеты, в том числе через KuCoin Deposit, OKX, MEXC и ряд других адресов. К концу первых суток в эксплорере  получает пометку Scam, но продолжает выводить средства. На данный момент кошелек пуст, активности нет.

Ситуация естественно сказалась на рынке: в виду выплеска  большого количества монет, курс TON просел и сейчас отыгрывается обратно за счет позитивных новостей о тестировании покупки подписки Telegram Premium за TON.

Оригинал материала взят из канала @DeepTon

Подписаться
на «Русский TON» в Telegram