Недавняя серия транзакций в сети Ethereum с неестественно высокими комиссиями может быть связана с неудачной попыткой отмыть деньги криптовалютной пирамиды PlusToken. К такому выводу пришел аналитик Frank Topbottom.
Almost a week has passed since the appearance of the most expensive transactions in Ethereum. There were many theories regarding them.
I found the connection of this address with PlusToken, which makes the money laundering theory more believable.https://t.co/naBHTMn3DX— Frank Topbottom (@FrankResearcher) June 16, 2020
10 июня неизвестный перевел 0,55 ETH, заплатив в качестве комиссии 10 668 ETH (около $2,6 млн). На следующий день с этого же адреса отправили 350 ETH с аналогичной аномально высокой комиссией. Днем позднее, но уже с другого адреса, последовала новая транзакция, в рамках которой было оплачено 2310 ETH ($538 тысяч) за перевод 3221 ETH ($751 тысяча).
Аналитик изучил адрес, с которого провели первые две транзакции и сделал несколько выводов:
- Кошелек новый. Первую транзакцию через него провели за несколько дней до перевода с высокой комиссией;
- Чрезмерно высокая стоимость газа говорит о возможном проведении автоматических операций;
- Большинство входящих и исходящих транзакций связаны с корейскими криптобиржами, преимущественно с Upbit и Bithumb;
- Две транзакции с высокими комиссиями добыли разные пулы (SparkPool и Ethermine);
- Кошелек, скорее всего, не относится к какой-либо бирже, поскольку транзакции не округлены.
Распределение стоимости газа между всеми транзакциями кошелька. Источник: Dune Analytics
Изучив движение средств, проведенных через этот кошелек, аналитик выдвинул предположение о попытке отмывания средств. Инициатором, по его мнению, выступила неизвестная сторона из Южной Кореи. Аналитическая компания Elementus изучила транзакции в миксере и обнаружила связь с пирамидой PlusToken.
По их данным, проект за время существования накопил почти 10 млн ETH. Сейчас на известном кошельке компании хранится ~790 тысяч ETH, остальные средства распределены между различными кошельками, включая аккаунты на южнокорейских биржах.
Распределение средств с кошелька между биржами. Источник: Dune Analytics
На графике ниже видно, что часть средств от PlusToken до кошелька с высокой комиссией прошли через адреса с низкой активностью и оказались на Upbit.
Источник: Frank Topbottom
Адрес PlusToken также связан с адресами бирж, куда поступили ETH с вышеупомянутого кошелька. На следующем графике видно, что деньги с кошелька PlusToken прошли через адрес, который на первый взгляд принадлежит бирже. Аналитик считает, что в действительности это миксер, на который поступают средства пирамиды с множества различных кошельков.
Источник: Frank Topbottom
Он добавил, что для усложнения расследования этого адреса неизвестная сторона выпустила токен WOR, который также прошел через этот миксер. После распределения он больше не использовался.
На основании этого Topbottom считает, что отправивший две транзакции с комиссией на $5 млн адрес — бот для отмывания денег, связанный с PlusToken. Еще одним аргументом в пользу этого он называет отсутствие какого-либо контакта между отправителем средств и пулами, получившими комиссии. Ethermine и SparkPool уже приступили к распределению комиссий между своими майнерами с разницей в один день.
Это ставит под сомнение теорию сооснователя Ethereum Виталика Бутерина о шантаже в адрес неустановленной биржи, которую тот выдвинул 12 июня.
So the million-dollar txfees *may* actually be blackmail.
The theory: hackers captured partial access to exchange key; they can’t withdraw but can send no-effect txs with any gasprice. So they threaten to “burn” all funds via txfees unless compensated.https://t.co/kEDFGp4gsQ
— vitalik.eth (@VitalikButerin) June 12, 2020
По словам аналитика, неестественные транзакции могли быть попыткой быстрого отмывания денег через возвраты от майнеров. Запас средств на счетах PlusToken позволяет им платить высокие издержки за разрыв любой связи с их известным адресом.
Напоследок аналитик добавил, что биржам вроде Upbit, Bithumb и Coinone необходимо дополнительно проверять аккаунты клиентов, которые могут быть связаны с миксерами.
Напомним, теорию о вымогательстве также выдвинули аналитики компании PeckShield.
Подписывайтесь на новости ForkLog в Twitter!
ForkLog
Автор: Alex Kondratyuk
