Блокчейн на базе Ethereum можно использовать для обмена сообщениями, то есть добавлять подпись к транзакциям. Происходит это с помощью функции IDM (Input Data Messages), которая позволяет пользователям создавать чат по выбранным адресам. В других сетях сделать такое тоже возможно, однако Ethereum является самым распространенным. Этой функцией достаточно часто пользуются хакеры для взаимодействия со своими жертвами. Они добавляют подписи к переводам и таким образом сохраняют свою приватность. Просматривают такие сообщения на базе обозревателя Etherscan.
За последний год произошло не мало хакерских атак, которые сопровождались перепиской между злоумышленниками и их жертвами. Мы проанализировали несколько подобных случаев.
Так, например, недавно биржа Kyberswap подверглась хакерской атаке, в ходе которой было украдено почти $50 млн. Сразу после взлома хакер связался с командой проекта, отправив минимальную сумму на публичный адрес кошелька разработчиков, и сопроводил транзакцию текстовым сообщением: «Уважаемые разработчики, сотрудники, члены ДАО и провайдеры ликвидности Kyberswap, я готов начать переговоры через несколько часов, когда отдохну», — написал хакер.
KyberSwap предлагала хакеру вернуть 90% украденных средств и оставить себе оставшиеся 10%. Однако после того, как хакер не выполнил немедленные действия, KyberSwap пригрозила судебным иском и заявила, что располагает цифровыми следами злоумышленника для отслеживания.
30 ноября хакер потребовал передачу полного контроля над компанией Kyber, которой принадлежит сервис, а также всех оставшихся активов и внутренней документации с переуступкой прав на интеллектуальную собственность. Украденные средства до сих пор остаются в распоряжении хакера, а биржа предложила пострадавшим пользователям гранты. Выплаты будут производится в размере, «не превышающем стоимость средств в долларах США на момент их изъятия из аккаунта», прокомментировала команда проекта.
Похожий случай произошел и с биржей Poloniex. Вследствие атаки, случившейся в середине ноября, было украдено около $125 млн в Ethereum, Bitcoin и Tron. Вскоре после взлома представители Poloniex опубликовали в социальной сети Х официальное обращение к хакерам, в котором предложили им награду в размере 5% от украденных активов в обмен на возврат всех средств и дали на обдумывание 7 дней. Однако трюк не сработал и вскоре на адреса, связанные с этим взломом, было отправлено новое сообщение. Кошельки Джастина Сана инициировали шестнадцать транзакций, каждая стоимостью $0,10 в Ethereum, содержащих одно и то же послание на нескольких языках. В сообщении говорится о том, что команда Poloniex уже идентифицировала личность злоумышленника, а также привлекла правоохранительные органы из Китая, США и России, и если хакер не вернет украденные средства до 25 ноября, то «правоохранители из нескольких стран начнут действовать».
Как и в случае с KyberSwap, хакер не торопится возвращать украденные средства, в то время как Poloniex старается оправиться от понесенных потерь.
Также в марте этого года взлому подверглась платформа Euler Finance. Хакеры украли около $200 млн в криптовалюте. Вечером 13 марта команда Euler направила первое ончейн-сообщение на адрес хакера, в котором предлагала обсудить дальнейшие действия с украденными активами: «Мы понимаем, что вы несете ответственность за сегодняшнюю утреннюю атаку на платформу Euler. Мы пишем, чтобы узнать, готовы ли вы обсудить с нами возможные следующие шаги», — говорилось в сообщении.
Спустя несколько дней переговоров хакер согласился вернуть все украденные средства, а также выразил глубокое раскаяние, признав, что причинил вред, вмешиваясь в финансовую систему Euler, работу и жизнь других людей.
Как мы видим, есть несколько вариантов того, как начинаются «переговоры» через транзакции. В некоторых случаях жертва выходит на хакера и предлагает злоумышленнику оставить вознаграждение в размере 10-20% от украденной суммы, а остальные 80-90% требует вернуть под угрозой обращения в правоохранительные органы. Другой вариант развития событий складывается, когда хакер сам отправляет сообщение жертве, выдвигая определенные требования, взамен на возврат средств.
Стоит отметить, что такой вид взаимодействия вызывает большой интерес, поскольку он является прозрачным и доступным для всех пользователей, а соответственно каждый может проследить за развитием событий и ходом переговоров.
Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.