BitoPro потеряла $11,5 млн в результате взлома кошелька

Тайваньская криптовалютная биржа BitoPro официально подтвердила инцидент с безопасностью, в результате которого было утрачено более $11,5 млн цифровых активов с горячих кошельков на Ethereum, Tron, Solana и Polygon. Атака произошла 8 мая, однако публично о ней не сообщалось в течение трёх недель, как отметил ончейн-исследователь ZachXBT в своём посте на X от 2 июня.

Как были похищены средства?

Согласно данным блокчейна, злоумышленники перевели похищенные активы на децентрализованные биржи (DEX), где они были оперативно проданы. Часть средств отправили в криптомиксер Tornado Cash, а другую часть — конвертировали в биткойны через THORchain, что является типичной схемой усложнения отслеживания украденных средств.

Молчание биржи

На следующий день после атаки, 9 мая, BitoPro объявила о «техническом обслуживании», которое завершилось в тот же день. Однако позже пользователи начали сообщать о невозможности вывода USDT, что вызвало обеспокоенность в сообществе.

Лишь 2 июня, спустя три недели после инцидента, BitoPro официально признала взлом.

Причина — «старый горячий кошелёк»

В заявлении в Telegram биржа объяснила, что взлом произошёл во время обновления системы кошельков, когда злоумышленник получил доступ к старому горячему кошельку, который всё ещё использовался для внутреннего перераспределения средств.

Компания подчеркнула, что располагает достаточными резервами цифровых активов, поэтому инцидент не повлиял на возможность пользователей снимать средства. Все депозиты, выводы и торговые функции работают в штатном режиме.

BitoPro также сообщила, что привлекла стороннюю кибербезопасную фирму для отслеживания украденных средств. В рамках усилий по прозрачности биржа пообещала вскоре предоставить адрес нового горячего кошелька для внешнего аудита.