Ошибка следствия чуть не обернулась арестом эксперта Yuga Labs

В декабре 2022 года владелец 14 NFT Bored Ape Yacht Club (BAYC) стал жертвой социальной инженерии, потеряв активы на сумму $1,1 млн. Мошенник использовал купленные аккаунты в X (ранее Twitter), чтобы убедить жертву в заинтересованности в лицензировании прав на IP и направил коллекционера на фишинговый сайт. После подписания вредоносного сообщения, цифровые активы были выведены с кошелька. Об этом рассказал известный исследователь и специалист по безопасности блокчейнов ZachXBT.

В сентябре 2023 года на фоне продолжающегося расследования по делу был задержан известный white-hat исследователь Сам Карри — бывший инженер безопасности Yuga Labs. Его ошибочно сочли подозреваемым из-за совпадения IP-адреса, который он использовал в рамках собственного анализа вредоносного сайта, с логами OpenSea. Ему была передана повестка в суд, которую впоследствии отозвали.

Анализ транзакций показал, что сразу после атаки активы были проданы, а средства выведены через Tornado Cash: 4 транша по 100 ETH, 5 по 100 тыс. DAI, и другие мелкие переводы. Благодаря уникальной структуре и последующей консолидации средств, исследователю удалось провести достоверный демикс токенов.

Далее криптовалюты были переведены через малоизвестный приватный мост Secret Bridge и направлены на более 20 адресов для ввода на биржу Gate. Анализ времени транзакций позволил выявить совпадения между ними и последующими выводами. Все средства затем были собраны на одном адресе и разделены на 2 направления.

Одна из сторон, получившая шестизначную сумму, связана с ENS-именем fugazigambler.eth, аккаунтом в X FugaziGambler и Telegram ID 5970895400. «Связь подтверждена через цепочку ончейн-ставок и сообщений в тематической Telegram-группе. В течение нескольких минут после публикации расследования злоумышленник сменил ник на gshaiahh и деактивировал X-аккаунт», — заявил ZachXBT.

Он подчеркнул, что арест невиновного специалиста стал следствием поспешных выводов полиции, тогда как цепочка следов в блокчейне явно указывает на другого участника. Он призывает правоохранительные органы запросить данные аккаунтов Fugazi Gambler и изучить историю P2P-транзакций на основе анализа.