ABD kolluk kuvvetleri, 2021 uranyum finans istismarına bağlı 31 milyon dolarlık kripto para biriminin geri kazanıldığını ve DEFI ile ilgili en büyük varlık nöbetlerinden birini işaretleyerek duyurdu.
New York’un Güney Bölgesi (SDNY) ve İç Güvenlik Soruşturmaları (HSI) tarafından öncülük edilen operasyon, saldırganların Binance Akıllı Zinciri (BSC) merkezli merkezi olmayan borsadan (DEX) 50 milyon dolar boşaltılmasından yaklaşık dört yıl sonra sona erdi.
Dava, karmaşık para aklama ağlarında yasadışı fonların izlenmesinde blockchain istihbarat araçlarının artan sofistike olmasının altını çiziyor.
28 Nisan 2021, saldırı, UNISWAP’ın Otomatik Pazar Makinesi (AMM) protokolünün çatalı olan Uranyum Finansının Çift Sözleşme Kodunda kritik bir tutarsızlıktan yararlandı.
The Sustamit: 50 milyon dolarlık bir akıllı sözleşme kusuru
Projenin “akıl sağlığı kontrolü” işlevindeki tek satırlık bir hata, saldırganların likidite havuzu bakiyelerini manipüle etmesine izin verdi.
Özellikle, sözleşme ** 1000 **, gerçek takas hesaplamalarına ** 10.000 ** uygulanırken denge doğrulaması için bir çarpan olarak kullanılmıştır – üstel fon çıkarmayı mümkün kılan 100x bir tutarsızlıktır.
Minimum girdi jetonları ile takaslar yaparak, bilgisayar korsanları yapay olarak şişirilmiş havuz rezervleri ve BTCB (Binance’ın sarılmış bitcoin), Busd ve ETH dahil 26 ticaret çiftinde sifonlanmış varlıklar.
İstismarın ardından saldırganlar çok aşamalı bir aklama stratejisi kullandı. İlk fonlar, işlem parkurlarını kırmak için Ethereum’un gizlilik mikseri Tornado Cash aracılığıyla yönlendirildi.
Yaklaşık 2.400 ETH (o zamanlar 5,7 milyon dolar), zincir hizmetleri aracılığıyla bitcoin’e köprülenmeden önce anonimleştirildi.
Kalan, merkezi olmayan borsalar (DEXS) ve merkezi platformlar yoluyla dağıtıldı, porsiyonlar 2024 başlarında yeniden etkinleştirilmeden önce yaklaşık üç yıl boyunca cüzdanlarda uykuda kaldı.
Özellikle, Blockchain Sleuths, Blockchain Game Magic: The Gathering aracılığıyla kripto para birimi dönüşümleri de dahil olmak üzere alışılmadık yöntemleri kullanarak fonları daha da şaşırtma girişimlerini belirledi.
İşlem modellerinin analizi
Soruşturmanın atılımı, kolluk kuvvetleri tarafından konuşlandırılan bir mobil ilk blockchain analizi aracı olan TRM Labs’ın taktik platformundan geldi.
Tarihsel işlem kalıplarını ve çapraz referans mikser çıkışlarını analiz ederek, araştırmacılar istismara bağlı adres kümelerini eşleştirdiler.
İyileşmenin anahtarı, daha sonra ABD yargı yetkisine uygun velayet hizmetlerine taşınan, aklanan BTCB ve ETH’nin bölümlerini alan uykuda cüzdanları tanımlamaktı.
TRM’nin sistemi, uzun statik cüzdanlarda ani aktiviteyi tespit eden sezgisel modellerle bu hareketleri işaretledi.
İstismar, çatallı protokollerde kalıcı riskleri vurgular. Uranyum finans geliştiricileri, lansman öncesi denetim sırasında kırılganlığı tespit etmiş, ancak kusurlu V2.0 sözleşmesini yamadan önce konuşlandırmışlardı, bu da felaket olduğunu kanıtlayan bir karar verdiler.
Olay, şunlara olan ihtiyacın altını çiziyor:
- AMM Matematiksel Modellerinde Çarşamba Tutarlılık Kontrolleri
- Likidite havuzu oranları için gerçek zamanlı anomali tespiti
- Kapsamlı denetim sonrası incelemelere izin vermek için gecikmiş sözleşme yükseltmeleri
Bu nöbet, uzun vadeli kripto araştırmalarında gelişmiş teknikleri göstermektedir:
- Yeniden etkinleştirilmiş cüzdanları tespit etmek için uykuda kalma periyodu analizi
- BSC, Ethereum ve Bitcoin işlemlerini bağlayan çapraz zincir ilişkilendirme
- Geçici kümeleme algoritmaları kullanarak mikser kalıntısı izleme
Geri kazanılan 31 milyon dolar, çalınan varlıkların% 62’sini temsil ediyor ve yetkililer uluslararası yasal kanallar aracılığıyla kalan fonları takip ediyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.