Судьба 4 000 000 TON

24 марта в нашем канале была опубликована новость о взломе данного(9-gb) TON-кошелька и краже более 4 000 000 TON (~9 000 000$ на момент кражи). Кража произошла в одну транзакцию, перед которой была произведена тестовая в 0,5 TON. Злоумышленником объявлен владелец этого адреса(_Rpa).  

Vudi Kingyru, в своем канале произвел подробный анализ кошельков и предоставил следующие данные:

 — 3,526,816 TON были куплены на OKX 23.03.2023, 15:47:04 по Москве;

— 605,415 TON были подарены кем-то приближенным к TON Foundation или Tonkeeper, или даже TON Whales. Подарено 1,020,000 TON, но 414,584 TON все еще лежат на промежуточном кошельке;

— перевод 4,070,246 TON был осуществлен 23.03.2023, 20:14:44 по Москве на кошелек _Rpa;

— на кошельке присутствует NFT TON FAM, значит человек присутствовал на встрече в Дубае в прошлом году. Но на тот момент кошелек был пустой.

Vudi сопоставил все адреса участвующих в данном инциденте и представил их в виде карты.

Выводы и предположения:

— кошелек принадлежит кому-то из членов TON Foundation, т.к. имеется много переводов с кошельков фонда и даже с кошелька Justin Hyun;

— seed-фраза была слита в рамках проведения Hack-a-TONx w/ DoraHacks;

— seed-фраза была слита еще 30.11.2022, после проведения TON FAM;

Интересную статью и работу на этот счет нам прислала Анастасия, которая является одним из активных участников комьюнити TON.

При изучении транзакций в эксплорере можно увидеть, что чуть ранее на адрес злоумышленника поступили около 60 000 TON с еще одного адреса. Вся сумма поступила в 4 транзакции, которым также предшествовала тестовая транзакция в 0,5 TON.

Основные адреса, участвующие в этой истории:

— 9-gb пострадавший;

— NGPw неизвестный (пострадавший или злоумышленник);

— _Rpa злоумышленник.

Для понимания того, была ли это кража или какой-то другой вид активности, можно пойти путем изучения последующих, после краж(и) транзакций и методом отслеживания истории TON до момента краж(и).

И так, откуда 4 млн TON у пострадавшего(9-gb)? Судя по активности этот адрес не является активным трейдером или ранним майнером, а получил токен от NGPw. История активности у 9-gb небольшая: обмен тестовыми транзакциями с NGPw и далее транзакция в 4 млн TON NGPw к 9-gb.

Разница во времени между транзакциями NGPw - 9-gb и кражей — 10 минут. Можно предположить, что злоумышленник заранее знал о поступлении на 9-gb значительного количества TON.

Опять же зачем в этой цепи NGPw пока можно только предполагать. Например NGPw и _Rpa в сговоре? Но пока уверенности в этом нет.

Откуда появился TON у NGPw. Во-первых отметим, что адрес свежий, также как 9-gb и _Rpa.  На адрес токены поступили в виде четырех транзакций: с биржи OKX, плюс NGPw пополняется по P2P на 605 415 TON. Итак, накануне игры между тремя главными участниками, на балансе NGPw генерируется около 4 132 231 TON. Напомню, что 60 000 из них NGPw направляются напрямую к _Rpa, а 4 млн TON уходят к 9-gb и уже оттуда к _Rpa.

Если представить, что NGPw адрес злоумышленника (-ов), то вырисовывается следующая картина: NGPw закупается, вовлекает в игру неопытного 9-gb. Для отвода глаз со своего адреса делает _Rpa небольшую, относительно четырех миллионов, транзакцию, а потом продает 4 ляма TON 9-gb, откуда (предположительно имея доступ к сид-фразе 9-gb) уводит их на _Rpa.

Другой сценарий... NGPw такая же жертва, как и 9-gb, и возможно даже одно и тоже лицо. Но тогда не понятно, как опытный, судя по закупкам на бирже, инвестор упускает сид-фразу.

Или... NGPw и 9-gb разные люди. NGPw, как более опытный, закупает TON для себя и друга для совместной сделки с _Rpa, но что-то идет не так...

_Rpa в течение суток чрезвычайно активно делает транзакции на различные биржи и адреса, обналичивает монеты, в том числе через KuCoin Deposit, OKX, MEXC и ряд других адресов. К концу первых суток в эксплорере  получает пометку Scam, но продолжает выводить средства. На данный момент кошелек пуст, активности нет.

Ситуация естественно сказалась на рынке: в виду выплеска  большого количества токенов, курс TON просел и сейчас отыгрывается обратно за счет позитивных новостей о тестировании покупки подписки Telegram Premium за TON.

Заимствование:
Investment kingyru | Статья Анастасии

Специально для вас подготовил и оформил @DeepTon