Расследование мошенничества трейдера Иссы
Команда аналитиков ШАРД, платформы по безопасности цифровых активов, провела собственное расследование обстоятельств нашумевшего мошенничества, связанного с покупкой криптовалютных токенов, созданных человеком или группой лиц, скрывающихся за ником «Трейдер Исса».
По данным различных информационных источников потери участников составили около $240 млн.
Изучение проекта с точки зрения движения криптовалютных средств можно условно разделить на 2 части: инвестирование пользователей в токены проекта «Трейдер Исса» (@issatrade, @issatraderbt) TECH, X100 и ISC, а также покупка пользователями доступа в «закрытый» клуб трейдера.
Инвестиции в токены проекта
Средства пользователей собирались путем покупки вышеуказанных токенов через биржу Pancakeswap в сети BEP-20, управление ценой которых, а также вывод средств был доступен только создателям контрактов, что ими широко и применялось.
- контракт монеты TECH 0x3cf63883003ADE0d7944bdC48A7216D74fBF6913 (2 010 держателей монеты);
- контракт монеты х100 0x68090ffcc266683a7dd9c9bbffdc072cbd9e525e (828 держателей монеты);
- контракт монеты Issa (ISC) 0xFcEc7A70bb5E70Da3e580442Aaf6Cc4a1D450f7F (394 держателя монеты).
Изучение кода всех 3-х смарт-контрактов токенов TECH, X100 и ISC позволило установить, что все они содержат условия, при которых подтверждение сделок и вывод средств осуществляется только владельцем контракта, а не владельцами монет.
Так, в разделе 5 (ERC20.sol) кода 3-х смарт контрактов (Contract Source Code) в строках 211-213 и 281- 283 описан следующий код:
function _transfer(address sender, address recipient, uint256 amount) internal virtual { require(sender != address(0), "ERC20: transfer from the zero address"); require(recipient != address(0), "ERC20: transfer to the zero address"); function _approve(address owner, address spender, uint256 amount) internal virtual { require(owner != address(0), "ERC20: approve from the zero address"); require(spender != address(0), "ERC20: approve to the zero address");
Фактически код контракта описывает, что подтверждение и вывод средств с нулевого адреса возможен только владельцем контракта. Таким образом вывод средств по указанным контрактам осуществлялся с большей долей вероятности его создателями.
Изучив контракт-создателя всех 3-х монет TECH, X100 и ISC адрес 0x4abbd5f4a4475a530c735af5f084642694e3ab57, мы установили, что вывод средств с него осуществлялся в следующем объеме и следующих монетах:
- 100 000 000 Tech.finance
- 10 100 000 x100 coin вывод прямо на Binance Hot Wallet (0x8894e0a0c962cb723c1976a4421c95949be2d4e3)
- 500 000 Issa coin
- 10 000 000 Hyper coin
- 20 000 000 Gobana coin
- 10 000 000 Molot coin
- 40 000 000 Pump coin
- 20 000 000 Wer2bip
- 20 000 000 Rekol Coin
С адреса создателя-контракта 0x4abbd5f4a4475a530c735af5f084642694e3ab57 средства направлялись главным образом на адрес 0x23870b33eb17aa78ce0d2fa4941b133498747588.
С данного адреса средства в объеме 4600 BNB (эквивалентно $1.3 млн) были направлены на BSC: Token Hub, откуда, если посмотреть движение средств в токене BNB, видно, что они были направлены через цепочку связей на адрес bnb1nuuqvhp9e8t22hvtsr6hvvu7cvf0uqdtkh37fu, принадлежащий бирже FixedFloat.
Также, часть средств в указанных выше монетах направлялась для обмена на адреса биржи Pancakeswap, где обменивались на BUSD:
- 0x505db7a180a71d6b8a3ed795a65ff6a12c295a6b (PancakeSwap V2 pool для обмена BUSD и ISC);
- 0xd9cac2e8834b8ac24537e6cb95c973f9f4ef97b5 (PancakeSwap V2 pool для обмена BUSD и RKC;
- 0x52f959d4c851bcdb2975426d0d659c0e011adee4 (PancakeSwap V2 pool для обмена HPC и BUSD);
- 0x255e19e952fa431e6b4117d980a741e6a2373bb7 (PancakeSwap V2 pool для обмена GBC и BUSD);
- 0x58f876857a02d6762e0101bb5c46a8c1ed44dc16.
Покупка доступа в закрытый раздел
Сбор оплаты за присоединение к клубу осуществлялся в монетах TRON и BUSD.
TRON
TBapPPnNe8x5ACYU7oYd734Yfbu2VBuNBe – адрес сбора средств, создан 15 мая 2022 года, текущий баланс в общем по всем монетам адреса эквивалентен $45.
За весь период существования адреса с него было в общей сложности выведено $243 459 (USDT).
Направления вывода средств
25 000 USDT были выведены 20 августа 2022 г. на адрес TDmniAg3J6PXd5Rjiraa3tG8QKEbxkinSJ, затем на адрес TG8PRYF8UQBPUDL4MW5f8i11Dma4KwuUBR (текущий баланс $84 000), откуда часть средств было переведено на биржу WhiteBit TWBPGLwQw2EbqYLLw1DJnTDt2ZQ9yJW1JJ.
15 760 USDT были выведены на адрес TWqgQBXTQ88R6XeBhNzfcBAhGDCNPPsKXp, откуда переведены на адрес TG8PRYF8UQBPUDL4MW5f8i11Dma4KwuUBR, с которого все средства были выведены на адрес биржи WhiteBit TWBPGLwQw2EbqYLLw1DJnTDt2ZQ9yJW1JJ.
15 000 USDT были выведены на адрес TFaQQhRwWUBPYL8LMpxAU8kH3CEsRcADM8, откуда переведены на адрес TFFbX8sDNSTgT7TfRpriP6bVXUUBbXfvBg, затем на горячий кошелек на бирже Binance TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi.
15 000 USDT были выведены на адрес TRKXgQmAVstnKy6iKRqbzNq5GmxLpuWTWc, откуда переведены на адрес TJMU4oJYLta1UDoSF5PuSDrYTeWUwsrx8G и затем на горячий кошелек на бирже Binance TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi.
13 000 USDT были выведены на адрес TSDVKBgPdqh8Ka1eTLG3LhqFwLbXDYcadx, далее переведены на адрес «Кита» TDoXUNZ6PajKuiUkcYg3EDSV9bnqGqsbcf (текущий баланс около 600 000 USDT). Судя по частоте операций, адрес, скорее всего, принадлежит обменному сервису.
10 227 USDT были выведены на адрес TPSQvqmY5nCJ8mDZ2HRV6Ajs6VkkjZT5mm, далее также переведены на адрес «Кита» TDoXUNZ6PajKuiUkcYg3EDSV9bnqGqsbcf.
BUSD
Адрес сбора оплаты за присоединение к клубу в BUSD/BSC 0xa031CD0fa2Ea14A436Cbde3674758A13C650F56d - адрес создан 12 мая 2022г., текущий баланс в токене BNB эквивалентен $1.32, при этом, в других монетах, например, wBTC на нем находится 2 100 BTC.
За весь период существования адреса в общей сложности с него было выведено 113 219 BUSD, и 5 000 BSC и 408 BNB.
Направления вывода средств
Вывод 107 722 BUSD на адрес 0x58f876857a02d6762e0101bb5c46a8c1ed44dc16, адрес принадлежит Pancake LPs (Cake-LP).
Вывод 4 997 BUSD на адрес 0x84114acff544f5c04d4ee14dd0b20c9cf77636b1, откуда средства были направлены на адрес 0xee5f1b0bd36a5beb765f0d3ec6c9a2c2f3d3967e, затем переведены на Binance Hot Wallet 0x8894e0a0c962cb723c1976a4421c95949be2d4e3.
Вывод 408 BNB (около $110 000) на BSC: Token Hub. Если посмотреть движение средств в токене BNB, видно, что они были направлены через 1 связь на адрес bnb1nuuqvhp9e8t22hvtsr6hvvu7cvf0uqdtkh37fu, принадлежащий бирже FixedFloat.
Вывод 500 BSC был осуществлен на адрес 0x7efaef62fddcca950418312c6c91aef321375a00, принадлежащий Pancake LPs (Cake-LP).
Вывод 4 500 BSC был осуществлен на адрес 0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae, принадлежащий Pancake LPs (Cake-LP).
Выводы:
Изучение транзакций по контрактам монет TECH, X100 и ISC показывает, что инвесторы вносили средства в BUSD на лаунчпад и таким образом создавали спрос на токены, одновременно повышая их цену. Инвесторы проекта, судя по всему, пренебрегали мерами безопасности («в контрактах заложена невозможность вывода монет»), чем и воспользовались мошенники-создатели, которые обнулили пул ликвидности контрактов и вывели средства в основном через биржи FixFloat ($1.3 млн.) и Binance.
Средства, собранные по адресам подписки на закрытый клуб в объеме эквивалентом $468 000, были выведены также через биржи FixFloat ($110 000), WhiteBit ($45 000), Binance ($35 000), неустановленный обменный сервис и Pancake.
Рекомендации для поиска лиц, причастных к хищению мошенническим путем и выводу этих средств: обращение в правоохранительные органы с заявлением о хищении средств мошенническим путем с приложением данного исследования.
В рамках доследственной проверки либо в рамках возбужденного уголовного дела необходимо сделать официальные запросы от правоохранительных органов на биржи FixFloat, Binance, WhiteBit на предмет идентификации аккаунтов, на которые поступали и с которых выводились похищенные средства.