A web3 researcher's soliloquy

Share this post

A web3 researcher's soliloquy
A web3 researcher's soliloquy
[Ohayo#14] CoinEXの犯人を追跡してみた
Copy link
Facebook
Email
Notes
More

[Ohayo#14] CoinEXの犯人を追跡してみた

待って、ハッカーこれはミスしてるのでは?

ta1suke
Sep 13, 2023
3

Share this post

A web3 researcher's soliloquy
A web3 researcher's soliloquy
[Ohayo#14] CoinEXの犯人を追跡してみた
Copy link
Facebook
Email
Notes
More
Share

ちょっと最近スマコン以外でのノーマルハッキング被害が相次いでいますね、世紀の大ハッキング事件Coincheckもブロックチェーン由来のハッキングではなかったようにたまにあるのですが件数としては少なく、一回の被害額としては大きい印象。

前回は8月5日の「Ohayo#5」でStakeのハッカーについて追跡を行ってみましたが、今回は直近CoinEXで起こったホットウォレットのハッキングについて、元々出すつもりはなかったのですがStakeの犯人との意外な接点を見つけたので今回はそこを。

[Ohayo#5] Stakeの犯人を追跡してみた

[Ohayo#5] Stakeの犯人を追跡してみた

ta1suke
·
September 4, 2023
Read full story

今回も前回に引き続きPeckShieldのツイートが速報として早かったですかね、めちゃオススメなのでぜひフォローして通知オンにしていただけると。

まずは事件の全容を把握するために盗まれたトークンリストを見てみます。盗まれた資金はUniswapで既にETHに交換されているので、現状ウォレットにある資金量をチェーン毎にまとめています。

  • ETH: 11,541.022ETH、204,315 BKK

  • BNB Smart Chain: 29,622BNB、その他複数種類のBEP-20

  • Polygon PoS: 559,908MATIC

  • Arbitrum One: 332.0652ETH、その他複数種類のERC-20

  • Tron: 137,525,782.81TRX

  • BTC: 231BTC

  • BCH: 2,220BCH

  • XRP: 12,625,364XRP

  • Solana: 141,541SOL、その他複数種類のSPL

  • Stellar: 4,321,978XLM

  • Kadena: 2,214,700KDA

  • XDAG: 229,291,485XDAG

執筆時点の時価でも6,600万ドル(約97億円)を超えるので直近のハッキングの中でも結構な被害額ですね。次に犯人のウォレットをまとめてみます。

  • Ethereum

    • 0x483D88278Cbc0C9105c4807d558E06782AEFf584

      • → 0x1A61Df134d766f1e240FBFAEe79bBeCC04195f62

    • 0x8bf8cd7F001D0584F98F53a3d82eD0bA498cC3dE

      • → 0x40cBe7580168d52b7FEC884120B31115c3F7E37E

    • 0xCC1AE485b617c59a7c577C02cd07078a2bcCE454

      • → 0x2118e4432d668aCFa347ddBA0efCcc6BB04DB297

    • 0x75497999432B8701330fB68058bd21918C02Ac59(Stargate、Hop、Squidでbridge)

      • → 0x4be18b9AabF1D530d2949Ed3faAE2c7Db1e37c21

        • → FixedFloat

      • → 0x964c192e54E5eF4176626875BB53071956579fca

        • → 0x0516063942078f5A0608eA42dDb5346cb6cf1c56

    • 0xce013682eddefaca8c94fe56a43a04212ebe4673

  • BNB Smart Chain

    • 0x6953704e753C6FD70Eb6B083313089e4FC258A20

      • → 0xC844F7178379782eC19F3EE6E399f2EB7b2b984F

  • Polygon PoS

    • 0x4515bE0067E60d8e49b2425D37e61c791C9B95e9

      • → 0xD4342E0277b3B9d11902FA1760F072868ECDBE2e

  • Arbitrum One

    • 0xfEec9F846E2FE529B765d832EBa988a399Fe3cD6

      • → 0x75497999432B8701330fB68058bd21918C02Ac59

    • 0x964c192e54E5eF4176626875BB53071956579fca(Stargateでbridge)

  • Optimism

    • 0x75497999432B8701330fB68058bd21918C02Ac59(Optimism上で資金の流出はOptimism上で起こっていないがOptimismを経由)

      • 0x964c192e54E5eF4176626875BB53071956579fca

  • Tron

    • TPFUjxQzG88Vwynrpj2W61ZAkQ9W2QYgAQ

      • → TP75t6owoqXxskLq6FB2R37PymNTmohq9L

  • BTC

    • 1BHNb9UJy4cWFB5wywZkTVgoNB4JbFmswH

  • BCH

    • qrgxyhj8rzl4l7fgauu6q6vtu2grct4jeyrnaq2s75

  • XRP

    • rpQxVcjVF2fC23r3xKyJS53jw8d5SRhZQf

  • Solana

    • G3udanrxk8stVe8Se2zXmJ3QwU8GSFJMn28mTfn8t1kq

  • Stellar

    • GBPIDVKDSNF74OAGVBSPKLW73CSCGISBOBRB3ODROTMOEENZFC6WJFPN

  • Kadena

    • k:a9f3672d7ad7a1e4592702d73b220cbc61db1fa17f89a56131d965bc03959913

  • XDAG

    • 15VY3MadZvLpXhjzFXwCUmtZcHszju6L9

ETHがFixedFloatに行ってるるのは気になりますが、分散してどっかに送っている感じStakeのハッカーと似てますね。でも今回はbridgeをいくつか使ってるみたいで。

でもまさかと思っていたらStakeのハッカーアドレスからMATICの大移動が起こっており、その内の一つが今回のハッキングのウォレットと一致することが判明、、、

  • 0x32860a05c8c5d0580de0d7eab0d4b6456c397ce2

    • → 0x75497999432B8701330fB68058bd21918C02Ac59: 180,000MATIC

      • すべてのMATICを4分割してAxelarでbridge

    • → 0xCee00f6d7e4d8D6E03a08Ca29cf1ee82af6336fD: 180,000MATIC

      • すべてのMATICを4分割してAxelarでbridge

    • → 0xc016AdBC8895521a4624a9B88Ad21402d52Fda10: 200,000MATIC

      • すべてのMATICを4分割してAxelarでbridge

    • → 0xb6c7B7E307EE3791c1D4963c704c7Ac78bded67E: 200,000MATIC

      • すべてのMATICを4分割してAxelarでbridge

    • → 0xaeA221BBB15C288F9Be1AdFdEC01a164B49ed37F: 200,000MATIC

      • すべてのMATICを3分割してAxelarでbridge

    • → 0xAfA33f6451F95486634d77F62B4f0f04983e8f2E: 300,000MATIC

      • すべてのMATICを3分割してAxelarでbridge

    • → 0xE0bC81DF4A0204207BaeeE7a8C7232B4eeC13415: 300,000MATIC

      • すべてのMATICを3分割してAxelarでbridge

    • → 0xFdD428C393e334ABf7af46CCD8E77322A2f40461: 300,000MATIC

      • すべてのMATICを4分割してAxelarでbridge

    • → 0xC92E9Ec10b6cc510EA0ddD8Beb6f514B92af1204: 350,000MATIC

      • すべてのMATICを2分割してAxelarでbridge

    • → 0x9D42A0AD49B28D79EaA6119dDf8620d6C4aA03fF: 350,000MATIC

      • すべてのMATICを2分割してAxelarでbridge

    • → 0x1b83aB0839869268915cfd458052D54939D08cE2: 350,000MATIC

      • すべてのMATICを3分割してAxelarでbridge

    • → 0x8e2EAEAc04fE89B2bcE8F85D154feB5D241E48b3: 339,599.77MATIC

      • すべてのMATICを4分割してAxelarでbridge

この内の最初の「0x7549…Ac59」がArbitrum Oneの流出先と一致しています。完全にウォレット管理ミスったんでしょうか?引き続き両事件のウォレットについては追跡を行うのでまた進展があればOhayoかニュースレターで解説します。

メールアドレスを登録すると朝晩のリサーチをいまなら毎日無料で受け取れます。ぜひこれを機に登録をお願いします!まだ昨日の夜のニュースレターを見ていない方はぜひこちらから見てみてください↓

[9.13] Crypto建てステーブルコインの現実<前半>

[9.13] Crypto建てステーブルコインの現実<前半>

ta1suke
·
September 13, 2023
Read full story
3

Share this post

A web3 researcher's soliloquy
A web3 researcher's soliloquy
[Ohayo#14] CoinEXの犯人を追跡してみた
Copy link
Facebook
Email
Notes
More
Share

Discussion about this post

No posts

Ready for more?

© 2024 Taisuke Nakano
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More