$44 миллиона ушли сквозь пальцы: как элитный маркетмейкер стал жертвой собственной уверенности

22 сентября 2022 года несколько транзакций из кошельков, связанных с DWF Labs, поставили под сомнение устойчивость одной из самых активных маркетмейкерских структур на крипторынке. Известный ончейн-исследователь tanuki42 зафиксировал вывод активов более чем на 44 миллиона долларов, происходивший в течение пяти часов без видимого сопротивления со стороны компании. На первый взгляд это выглядело как внутреннее перераспределение средств, но цепочка последующих переводов с централизованных бирж показала: произошло компрометирование ключей и учетных данных.

Последовательность атаки и поведение кошельков

Первая подозрительная транзакция была зафиксирована утром 22 сентября 2022 года, когда один из адресов DWF Labs оказался пуст. Через короткое время на этот же кошелек стали поступать активы из других источников, включая централизованные площадки, что указывает на то, что злоумышленники обладали прямым доступом к учетным данным. По наблюдению tanuki42, вывод средств шел безостановочно на протяжении пяти часов, но никаких попыток остановить или заморозить движение активов не предпринималось.

23 сентября атака повторилась: второй кошелек подвергся аналогичному "опустошению". На этот раз активы были быстро переведены через мост Ren Protocol и конвертированы в биткоин.

"DWF Labs скрывает взлом на $44 млн? Не могу сказать, что я удивлен", — прокомментировал ситуацию ончейн-сыщик ZachXBT.

Конвертация и отмывание активов

Полученные токены злоумышленники конвертировали в BTC, а затем вывели их через Mixero, современный криптомиксер, обеспечивающий анонимизацию цепочки транзакций. Долгое время украденные средства не двигались, однако позднее начались новые переводы, что свидетельствует о запуске фазы отмывания. tanuki42 отметил, что стратегия вывода и структура маршрутов повторяют почерк северокорейской хакерской группировки AppleJeus, известной атаками на Deribit, Tower Capital и Radiant.

Почему исследователь связывает инцидент именно с DWF Labs? Потому что атакованный кошелек активно взаимодействовал с адресом Yield Guild Games, который ранее сотрудничал с маркетмейкером. Дополнительно, тот же кошелек переводил средства на казначейский адрес MagnifyCash (ранее известного как NFTY Finance) — в день, когда DWF Labs объявила о партнерстве с этим проектом. Совпадение временных рамок и маршрутов транзакций усилило подозрения.

Признаки инсайда и реакция рынка

Отсутствие мгновенной реакции со стороны компании породило предположение о внутреннем нарушении процедур безопасности. В отличие от типичных атак с использованием смарт-контрактных уязвимостей, здесь речь идет о компрометации учетных данных и приватных ключей, что часто связано с человеческим фактором.

Почему компания не предприняла действий в первые часы? Ответ может крыться в структуре управления активами: часть ключей хранится в многоуровневых кошельках с распределенным доступом. Потеря контроля над одним из уровней способна временно парализовать оперативное реагирование.

Для сравнения: при аналогичных атаках на Wintermute и Nomad Bridge команды реагировали в течение минут, блокируя маршруты через централизованные биржи. В случае DWF Labs подобного противодействия не было.

Слабые места и типичная ошибка компаний

Компании, работающие с маркетмейкингом, часто полагаются на сложные торговые алгоритмы и мультисиг-кошельки, но недооценивают риск компрометации операционных учётных данных. Ошибка DWF Labs могла заключаться в недостаточном разделении доступов между системами хранения и торговыми узлами. Последствием стала потеря контроля над потоками ликвидности и невозможность быстро локализовать утечку.

Альтернатива очевидна: внедрение изолированных "холодных шлюзов" и автоматического реагирования на аномальные транзакции. Некоторые криптокомпании уже применяют такие решения, где каждая крупная операция требует мультиподписи с независимого устройства.

Как выглядит стандартная процедура реагирования

Чтобы предотвратить подобные случаи, компании уровня DWF Labs должны выполнять минимальный набор шагов.

1. Мгновенно приостанавливать движение средств с подозрительных кошельков.
2. Уведомлять партнёров и биржи о возможной компрометации.
3. Фиксировать маршруты движения активов с помощью ончейн-инструментов.
4. Проводить внутренний аудит ключей и доступов.
5. Публично информировать о масштабе атаки для минимизации слухов и паники.

Почему эти шаги не были выполнены? По словам tanuki42, DWF Labs "вероятно, предпочла замалчивать инцидент", чтобы избежать репутационных потерь и не вызвать отток клиентов.

Реакция сообщества и запрос к экспертам

tanuki42 обратился к ZachXBT и компании TRM Labs с просьбой помочь в расследовании. TRM Labs обладает инструментами для отслеживания маршрутов даже через приватные миксеры. Пока результаты не опубликованы, но по предварительным оценкам около 30 миллионов долларов остаются без движения.

Сообщество восприняло тишину DWF Labs как признак попытки скрыть масштабы проблемы. Аналитики отметили, что такие инциденты подрывают доверие к криптоинфраструктуре, где маркетмейкеры играют роль стабилизаторов ликвидности.

Возможная причастность AppleJeus

Сценарий атаки, переход через Ren Protocol, конвертация в BTC и последующее использование миксера повторяют последовательность, применявшуюся в атаках, связанных с AppleJeus — подразделением хакерской сети Lazarus Group, действующей из КНДР. По данным Chainalysis, с 2020 по 2023 годы AppleJeus участвовала в кражах криптоактивов на сумму свыше 1,7 млрд долларов.

Если версия подтвердится, инцидент DWF Labs станет очередным звеном в цепи северокорейских кибератак, нацеленных на инфраструктуру DeFi.

Что остается неясным

Будет ли DWF Labs публично признана потеря средств? Пока компания не дала официальных комментариев. Отсутствие открытости может сигнализировать о попытке внутренней компенсации убытков или договоренностях с биржами, через которые проходили переводы.

Какова вероятность возврата активов? Практически нулевая: после прохождения через Mixero и Ren Protocol восстановить цепочку владения крайне сложно. Даже с участием TRM Labs такие кейсы завершаются лишь частичным возвратом, если средства попадают на централизованные биржи.

Распространённые иллюзии о безопасности маркетмейкеров

Распространено мнение, что крупные маркетмейкеры вроде DWF Labs защищены лучше мелких проектов. Реальность противоположна: объём операций делает их мишенью, а скорость транзакций оставляет минимальное окно для реакции. Подобные компании часто работают с десятками бирж, и потеря одного аккаунта способна обрушить каскад взаимосвязей.

Второе заблуждение — вера в то, что мультисиг гарантирует полную безопасность. На практике уязвим не сам механизм, а процесс доступа к устройствам подписи: если атакующий получает доступ к одной из машин, остальная инфраструктура теряет смысл.

Если бы атака произошла сегодня

С 2023 года индустрия внедрила больше инструментов мониторинга ончейн-активности. Однако многие компании по-прежнему не имеют дежурных процедур реагирования. А что если подобная атака произойдет снова? Тогда ущерб может быть ниже, но репутационные риски возрастут кратно, поскольку публичное сообщество теперь фиксирует аномалии в течение минут.

Пока же DWF Labs остается под подозрением, а связанные с атакой адреса продолжают отслеживаться аналитиками. История стала напоминанием, что в криптоиндустрии не существует "слишком больших, чтобы быть взломанными".