Начнём с того, что нет точной информации о том, каким образом были взломаны аккаунты. Есть версия, что сотрудник Twitter продавал информацию хакерам о крупных Twitter-аккаунтах за деньги. Есть также версия, что аккаунт сотрудника Twitter был взломан и все данные «утекли» в руки злоумышленников. Далее через админ панель Twitter были заменены E-mail адреса жертв и снята двухфакторная авторизация. Опять же это всего лишь не подтверждённые версии. Тем не менее сейчас на официальном аккаунте TwitterSupport есть пост, в котором утверждается о том, что с помощью социальной инженерии был получен доступ к админ панели нескольких сотрудников Twitter.

Злоумышленники работали по нескольким направлениям. И не ограничились одним биткоин-адресом, о котором все говорят. Атака была проведена на несколько популярных аккаунтов и использовались разные способы мошенничества, а не простая схема волшебного биткоин-адреса.

Один из самых первых взломанных аккаунтов был аккаунт популярного биткоин-трейдера AngeloBTC. Злоумышленники разместили пост от лица трейдера о том, что он открывает приватную группу в Telegram, где будет активно постить торговые сигналы. Злоумышленники не указали в посте никакого биткоин-адреса. Обрабатывали жертв в личных сообщениях. Ежемесячная подписка стоила 0,1 BTS, а пожизненная подписка продавалась за 0,5 BTS.

Точно неизвестно сколько удалось злоумышленникам получить биткоинов. Потому что этот адрес ранее использовался для получений транзакций. И вполне возможно, что часть средств на этом адресе принадлежит самим злоумышленникам. Можно лишь примерно прикинуть, что во временной режим взлома аккаунта было собрано около 10 BTC. Хотя на данный момент общая сумма входящих транзакций на этот адрес составляет 14,75 BTC.

Часом позже на официальном аккаунте Binance была опубликована запись следующего содержания «якобы Binance заключило сотрудничество с какой-то медицинской организацией и раздаёт бесплатно 5000 BTC». Здесь уже использовалась старая классическая схема по типу «отправь 1 биткоин, получи 2 обратно».

Следующей целью стал официальный аккаунт Ripple с такой же схемой, как и на аккаунте Binance. Самое интересное, что адрес в XRPLedger, который указали злоумышленники вообще не существует. И злоумышленники ничего не получили из-за своей ошибки. Но это ещё не все ошибки, которые допустили мошенники.

Одновременно с аккаунтом Ripple были атакованы ещё несколько аккаунтов крупных компаний и медийных личностей. Чуть позже записи схожие по характеру были размещены на крупнейших Twitter аккаунтах, такие как ElonMask, BillGates, KanyeWest. Во всех постах использовался один и тот же адрес, на который злоумышленники смогли собрать 12,8 BTC или около $120 000 по текущему курсу. Последний аккаунт подвергшийся атаки был аккаунт KimKardashian. В посте на этом аккаунте был использован третий биткоин-адрес, на который удалось собрать 0,55 BTC или $5000 по текущему курсу.

В итоге злоумышленники использовали три биткоин-адреса. Первый адрес собрал около 10 BTC только с одного поста про приватную группу. Второй (основной) адрес собрал 12,8 BTC. И последний третий адрес собрал 0,55 BTC. В итоге злоумышленники получили 23,35 BTC или $213 000. Что катастрофически мало, учитывая то, что у них был доступ к самым крупным Twitter аккаунтам в мире.

Далее рассмотрим ошибки, которые допустили злоумышленники при атаке.

Самая первая ошибка с несуществующим адресам XRP выглядит нелепо. Мы её пропустим.

Основная ошибка, которая была допущена злоумышленниками — это использование чистого SegWit адреса. Эта ошибка сократила их прибыль в несколько раз. Далее объясним почему.

SegWit адрес — это новый формат адресов, который начинается с bc1 и появился он после softfork в 2017 году. Но почему же использование этого типа адреса было ошибкой? Дело в том, что 95% пользователей биткоина являются не то чтобы новичками, мы бы сказали любителями. И зачастую хранят свои средства либо биржах, либо на blockchain.com или на других подобных онлайн-кошельках. Другими словами, значительная часть аудитории, которая увидела посты злоумышленников в Twitter хранила средства на биржах или на blockchain.com.

И проблема состоит в том, кошелёк blockchain.com не поддерживает отправку транзакций на SegWit адреса. Также и некоторые биржи выводят средства только на Legacy или SegWit совместимые адреса. Проще говоря, достаточно большое количество людей просто не смогли отправить деньги злоумышленникам из-за того, что использовали blockchain.com или пытались отправить средства с биржи. Мы уверены, если бы мошенники использовали бы Legacy адрес, то они бы получили бы гораздо больше биткоинов.

Вторая ошибка злоумышленников — это использование адреса, который уже был использован ранее.

Здесь речь идёт о первом адресе, который использовался для принятия транзакции за оплату подписки в приватную группу. Этот адрес ещё до атаки имел транзакции, которые можно проанализировать и связать с другими адресами, а затем возможно выйти на личность злоумышленников. Конечно, злоумышленники могли действовать грамотно. Тогда анализ транзакций уже не поможет. Тем не менее гораздо безопаснее было бы использовать новый биткоин-адрес.

Кстати, заметьте, что первый адрес, который был использован для принятия платежей за доступ в приватную группу именно формата Legacy. Думаем, это связано с тем, что в личной переписке злоумышленники столкнулись с тем, что кто-то из людей не мог отправить транзакцию на чистый SegWit адрес. И мошенникам пришлось использовать именно Legacy адрес для получения транзакций.

Ещё один очень интересный момент, который мало кто заметил — это транзакция с посланием. Какой-то человек создал несколько адресов через Vanitygen и использовал их транзакции для отправки сообщений злоумышленнику. В этих адресах зашифрованы сообщения о том, что биткоин отслеживаемый, что злоумышленник берёт на себя риск когда использует биткоин и почему он не использовал Monero. С Monero, конечно, было бы вообще идеально. Но, во-первых, Monero мало кто использует, а те кто использует не настолько глупы, чтобы повестись на такую уловку. Если кому интересно, то биткоин-адреса с определёнными паттернами можно создавать с помощью утилиты Vanitygen. Чем длиннее хотите паттерн в начале адреса, тем больше времени потребуется на генерацию такого адреса. Ну и, естественно, всё зависит от мощности вашей видеокарты.

Но, что будет дальше со средствами, которые получили злоумышленники?

Уже есть информация о том, что часть биткоинов была проведена через «миксеры». И это можно посмотреть по транзакциям в блокчейне. Думаем, рано или поздно мошенники прокрутят эти биткоины через CoinJoinнесколько десятков раз. И уже будут пытаться вводить эти биткоины либо через биржи, либо P2P обменники.

Биржи, конечно, могут пометить эти выходы как «грязные». Но чем больше циклов в «миксерах» или CoinJoin транзакций будет проведено, тем больше биткоинов придётся помечать «грязными». Причём будут затронуты и чистые биткоины других пользователей. Короче говоря, если сделать всё грамотно, то обналичить эти биткоины относительно просто даже через биржи

О чём вообще нам говорит вся эта ситуация со взломами аккаунтов и биткоинами?

Во-первых, она наглядно показывает насколько сильно уязвимы централизованные системы, и что они имеют очевидные недостатки перед децентрализованными. Если бы Twitter был построен поверх блокчейна, где каждый пользователь владеет самостоятельно своей учётной записью, то такой ситуации не произошло бы. И, кстати, такой аналог Twitter и он называется Twetch. Построен он поверх блокчейна биткоина. И только у самих пользователей есть доступ к своим аккаунтам.

Во-вторых, огромное количество людей захотят узнать более подробно, что такое биткоин и почему мошенники выбрали именно его для своей махинации. А это в свою очередь положительно скажется на продвижении криптовалют в массы.

Подводя итог хочется сказать, что злоумышленники использовали эту возможность точно не на максимум. И что-то нам подсказывает, что эта атака даже не окупилась. Имея в распоряжении аудиторию в несколько десятков миллионов человек, они получили всего $213 000.