Взломавшие Twitter хакеры использовали BitPay и Coinbase для перевода средств

Злоумышленники, которым удалось получить доступ к аккаунтам многих знаменитостей в Twitter и разместить вредонос, перевели полученные средства на отдельный адрес. Ранее он использовался для отправки средств на Coinbase и сервисы BitPay и CoinPayments.

@CoinPaymentsNET pic.twitter.com/xbJ4X4mfkV

— whitestream — Blockchain Intelligence (@whitestream5) July 16, 2020

Согласно специалистам в сфере блокчейн-аналитики Whitestream, три транзакции отправителем которых выступил следующий адрес, приводят к кошелькам, связанным с Coinbase и BitPay. На этот адрес успели поступить 14,75 BTC (почти $135 000). В дальнейшем хакеры использовали Bech32-адрес.

Первая транзакция затрагивает перевод 1,2 BTC ($11 000) в мае этого года. Во второй и третьей фигурировали незначительные суммы за несколько дней до текущих событий. Специалисты по криптобезопасности считают, что на тот момент хакер был в процессе перехода на Bech32-адрес. На такую мысль их натолкнул характер последних двух транзакций.

В компании считают, что получатели средств позволят раскрыть личность их отправителя. Однако расследование может оказаться не столь простым, если транзакции злоумышленника были связаны с платежами мерчантам через указанные сервисы.

В Whitestream предположили, что хакер для проведения атаки использовал старый адрес намеренно, чтобы запутать следы.

Whale Alert столкнулся с проблемой

Twitter ограничил публикацию сообщений, содержащих криптовалютные адреса (набор из цифр и букв). В результате таких мер известный трекинговый сервис Whale Alert утратил возможность транслировать в соцсеть посты о крупных транзакциях.

ℹ️ Due to anti-hack measures taken by Twitter the Whale Alert bot can no longer post any transfers and we cannot manually add them either. We hope Twitter will resolve the issue soon. Transfers are still being posted to our Telegram channel: https://t.co/vVRNZuovHX

— Whale Alert (@whale_alert) July 16, 2020

Whale Alert заявил, что посты пока будут публиковаться в Telegram и выразил надежду, что Twitter скоро уберет ограничения.

Напомним, на страницах взломанных аккаунтов знаменитостей были размещены сообщения о фейковой раздаче 5000 BTC от неизвестного сайта Cryptoforhealth.

Сайт cryptoforhealth.com из Internet Archive

Домен был зарегистрирован в день атаки. Информация о владельце сайта была открытой до тех пор, пока ее не скрыл регистратор. Фишинговая страница принадлежала Энтони Элиасу из Калифорнии, также в сети оказались его адрес проживания, номер телефона и электронная почта. При проверке можно выяснить, что данные носят фейковый характер.

ForkLog продолжит следить за развитием событий. О ходе самого взлома читайте в нашей трансляции.