Досі не викритий хакер, який контролює скомпрометований мультипідписний Ethereum-гаманець, продовжує безтурботно виводити вкрадені гроші. Він знову вивів ще 1 000 ETH з протоколу децентралізованого кредитування Aave та відмив ці кошти через Tornado Cash.

Про це повідомляє компанія з блокчейн-безпеки PeckShield. Загальний обсяг коштів, пропущених через Tornado Cash, зріс до 6 300 ETH — приблизно $19,4 млн. Інцидент бере початок із компрометації приватних ключів, про яку вперше публічно повідомили в середині грудня. Нападник досі контролює леверидж-лонг позицію в ETH на Aave, пов’язану зі зламаним мультисиг-гаманцем.

За даними PeckShield, хакер, який захопив контроль над скомпрометованим мультипідписним гаманцем, вивів додаткові 1 000 ETH з Aave та відмив їх через Tornado Cash, довівши загальний обсяг коштів, спрямованих у міксер конфіденційності, до 6 300 ETH. Останнє виведення відбулося з відкритої позиції на Aave, де зловмисник і надалі контролює леверидж-лонг у ETH. У вівторок PeckShield повідомила в X, що загальна сума відмитого ефіру з цього гаманця становить близько $19,4 млн. Це частина ширшого експлойту, внаслідок якого в грудні було викрадено активи приблизно на $27,3 млн після компрометації приватних ключів мультисиг-гаманця.

Скомпрометований гаманець — це мультипідписна адреса Gnosis Safe, ідентифікована як “0x1fC…d23Ac”. Вона не має відношення до самого Aave і, ймовірно, належить приватному “киту”. Блокчейн-дані, на які посилається PeckShield, свідчать, що нападник досі утримує леверидж-лонг позицію на $9,75 млн: приблизно $20,5 млн в ETH надано як забезпечення проти близько $10,7 млн запозичених у DAI. Позиція залишається платоспроможною, але стає дедалі вразливішою у разі зміни ринкових умов.

PeckShield вперше публічно повідомила про інцидент 18 грудня. На той момент близько 4 100 ETH уже було пропущено через Tornado Cash, а хакер зберігав контроль над гаманцем і відкритою позицією на Aave. Інструменти конфіденційності на кшталт Tornado Cash часто використовуються під час криптоексплойтів для розриву ончейн-ланцюгів транзакцій і ускладнення процесу повернення коштів.

Замість негайного закриття позиції зловмисник поступово її розмотує: поетапно виводить забезпечення та відмиває кошти, залишаючи борг відкритим, щоб уникнути ліквідації. Такий підхід виглядає як тактика “повільного зливу”, спрямована на максимізацію вилучення коштів за мінімального ризику примусової ліквідації в DeFi-протоколах.

Особу постраждалої сторони не розкрито, і жодні казначейства протоколів не були пов’язані з цим гаманцем. Активність адреси можна публічно відстежувати в Etherscan — вона демонструє триваючу взаємодію з контрактами Aave та депозити в Tornado Cash. Про широкомасштабні спроби повернення коштів не повідомлялося, а довгостроковий результат леверидж-позиції залишається невизначеним.

Джерело: The Block