一位名为“HEX 19”的老年加密货币巨鲸在缓慢进行的黑客攻击中损失了近450万美元,其质押的HEX(HEX)在多年的时间内被逐渐耗尽。

起初,这看起来像是一个HEX巨鲸在套现。但不久之后,社区意识到他并没有主动解质押他的代币——他成为了一次重大攻击的受害者。

这次网络攻击始于2021年11月,涉及多个钓鱼钱包,并被追踪到一个名为“Konpyl”的在线实体,这是加密货币调查人员熟悉的威胁行为者。

此次漏洞不仅动摇了代币的价格,还揭露了一系列与Inferno Drainer和2024年2月价值160万美元的假Rabby钱包骗局相关的欺诈行为。

HEX代币价格在HEX19黑客事件后下跌  来源:CoinGecko

HEX黑客及其关系网络

一位与Cointelegraph交流的区块链调查员匿名表示:“与假Rabby应用骗局中使用的钱包有直接的对手方暴露,HEX19受害者的资金直接流入用于洗钱非法Inferno Drainer钓鱼骗局收益的钱包。”

受害者钱包的第一批主要外流发生在2021年11月,并在几年中持续进行,因为锁定在十年期质押中的资产不断解锁,其中一些被黑客提前关闭,并受到处罚。

HEX19钱包在11月21日损失了近400万美元  来源:Arkham Intelligence

调查人员深入研究与HEX19黑客相关的钱包时,越来越清楚这不是黑客的单一事件。这些相同的地址一次又一次地出现在钓鱼活动、钱包耗尽和洗钱轨迹中。

HEX19黑客使用的钱包、假Rabby钱包骗局和与Inferno Drainer相关的几个计划共享一个共同地址:Konpyl。

在2024年10月的调查中,Cointelegraph的杂志分析了由一位调查员和美国政府机构收集的链上和链下证据,将Konpyl与Konstantin Pylinskiy联系起来,他是迪拜一家投资公司的高管,并在其在线活动中使用这个昵称。Pylinskiy否认与骗局有任何关联。

调查人员表示,攻击HEX19是可能的,因为受害者在云中存储了他的种子短语。交易记录显示黑客使用受害者资金进行初始转账到他们的非法账户,这是Konpyl相关计划的一个共同特征。

“HEX19黑客遵循‘Konpyl’其他骗局的类似模式,”他们说。

在2024年11月的一份报告中,Cointelegraph了解到与Konpyl相关的钱包与与Inferno Drainer相关的骗局有大量互动,这是一个骗局即服务的威胁行为者。

Fairside Network(一个加密货币保险公司)的法医专家兼调查负责人Fantasy告诉Cointelegraph,Konpyl可能更像是一个洗钱代理,而不是直接攻击者。

HEX黑客内幕

第一批资金在2021年11月21日开始从钱包中转移,但区块链记录显示,钱包可能早在11月3日就已被妥协,因为受害者钱包(0x97E…7a7df)有一次资金外流到其中一个黑客钱包。

在11月21日,HEX19被通过九次独立交易耗尽了近400万美元。大部分损失都是HEX代币。主要目的地是地址0xcfe…8A11D,我们将其称为HEX Hacker 1(HH1)。
  • 同一天,HH1开始分割被盗资金。他们将264万美元(1233万HEX)转移到第二个钱包,0xA30…2EA17,或HEX Hacker 2(HH2)。
  • 2021年12月10日的后续交易,将另外61,6700 HEX(当时价值约86,700美元)从HH1转移到HH2。
  • 在2022年2月18日,HH1转移了520万HEX(当时价值约100万美元)和一些以太币(ETH)到另一个地址,0x719a...4Bd0c,资金至今仍停留在那里。

HH2钱包似乎是洗钱努力的核心。

  • 从2021年12月到2022年3月,HH2向以太坊最著名的匿名化协议Tornado Cash发送了超过100万美元。
  • HH2还将106,758 Dai(DAI)转移到一个中介钱包,0x837…2Ba9B,该钱包用于与去中心化金融(DeFi)平台如1inch互动以进一步模糊或交换资金。
  • 中介与0x7BF…C4eAa互动,这是一个接收来自Konpyl(在众多钓鱼和耗尽操作中出现的在线角色)直接资金流入的钱包。
  • HH2的洗钱链还与一个高风险钱包——0x909…e4371——相交,该钱包因超过70次可疑交易而被标记。

  • 在2024年5月16日,一个第三钱包,Hex Hacker(HH3)——0xdCe…4f0d8——开始从被妥协的HEX19地址中提取资金。
  • HH3已从受害者账户中收到约10,8000美元的HEX。
  • HH3连接到0x87B…53d92,这是Cointelegraph在11月调查中之前识别为与Inferno Drainer相关骗局的一部分的地址。该钱包与Konpyl共享一个混合地址(0xF2F...6a608),连接了2024年3月与Inferno相关的骗局和Rabby钱包钓鱼事件。

最后,第四个钱包,0x7cc…59ee2——HEX Hacker 4(HH4)——进入了画面。从2024年1月12日开始,HH4通过三月从HEX19钱包中抽取资金。

该钱包与一个已知由假Rabby钱包骗子使用的地址0x4E9…c71C2互动。

HEX19黑客事件的教训

HEX19,这位退休的科技老兵,曾经历过繁荣和萧条——只是没有一次在一天之内从他的数字钱包中清空数百万美元。

他报了警,他说,交易所帮不上什么忙。剩下的质押资金,包括十年期HEX锁定,成为了定时炸弹。他知道黑客已经获取了访问权限,只是在等待提取更多。

Cointelegraph发现了至少180次可疑交易,从2021年11月到2024年10月,总额超过450万美元。受害者的钱包仍有九个活跃质押,尽管它们的价值没有那些被窃者提前关闭和提取的显著。

活跃质押的价值不如被黑客关闭的那些  来源:HEXscout

“你有一种心底的感觉,你说,‘哦,天哪。’然后你说,‘哦,天啊,我又搞砸了,我得告诉我家人,’”HEX19,据称是一位80多岁的退休人员,在被HEX社区成员Mati Allin采访后不久说。Cointelegraph试图联系HEX19但未收到回复。

尽管遭受损失,HEX19保持了令人惊讶的冷静:“我们退休了。我们没有债务地生活。我们生活得非常简单。我们有一个伟大的家庭,优秀的女儿,孙女,”他在2021年社区采访中说。“生活不仅仅是金钱。”

尽管他不指望能找回资金,但他希望他的经历能帮助其他人在将种子短语存储在线之前三思。

相关文章:澳大利亚监管机构将关闭95家与加密货币和浪漫骗局有关的“多头”公司