По оценке аналитиков, атака была подготовлена заранее, а вывод происходил одновременно с нескольких кошельков. Всего за пять минут были выведены средства с 54 кошельков биржи — преимущественно в сети TRON, частично в Эфириуме. Такая скорость операций указывает на использование автоматизированных инструментов.
Согласно анализу, схема включала несколько этапов. Сначала средства в стейблкоинах USDT с 54 адресов были направлены на два промежуточных кошелька в сети TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs и TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D.
Затем активы конвертировали в TRX через децентрализованный протокол SUN.io, что усложнило отслеживание транзакций. На завершающем этапе средства были объединены и переведены на единый адрес накопления TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa.
Распределение по сетям выглядело следующим образом: 48 адресов в сети TRON (TRC-20) и пять — в сети Эфириума (ERC-20). Крупнейший одиночный адрес — TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu — содержал почти 6,86 млн USDT, что составляет более половины от общего объема похищенных средств.
По мнению аналитиков, подобная схема с дроблением средств, их последующей конвертацией через децентрализованные сервисы и финальной консолидацией характерна для крупных взломов последних лет. Она не требует сложных внешних ресурсов, но предполагает тщательную подготовку и понимание архитектуры горячих кошельков.
«Это не рядовой взлом, а комплексная, заранее спланированная атака. Злоумышленники вывели около $14 млн за 5 минут с 54 кошельков, что говорит о подготовке и автоматизации. Мы уже пометили кошельки злоумышленников. Теперь они всегда будут под контролем — все их платежи будут видны. Если, конечно, цель была похитить деньги, а не нанести урон российским пользователям», — сказал генеральный директор КоинКит Виталий Горбенко.
Финальный адрес, на который были переведены средства, уже идентифицирован и тоже находится под наблюдением. Любые дальнейшие транзакции с него будут отслеживаться средствами ончейн-аналитики, сообщили эксперты.
Специалисты работающей в области блокчейн-безопасности компании TRM Labs отметили, что помимо Grinex пострадал сервис TokenSpot. С него было выведено около $5000, которые поступили на тот же адрес, где аккумулировались активы, связанные с атакой на биржу Grinex.
По оценке TRM Labs, злоумышленники действовали по заранее подготовленной схеме: переводили средства в USDT, а затем конвертировали их в TRX через децентрализованную платформу SunSwap, что позволило изменить тип актива и усложнить возможную блокировку.
Ранее аналитики платформы BitOK заявили, что атака на биржу Grinex не имеет признаков операции, связанной с зарубежными спецслужбами, и больше напоминает классическое хищение средств.