Хакер вернулся после двух лет бездействия и внес 5,4 млн долларов украденных средств в Tornado Cash после обмена DAI на ETH.
Атака, связанная с предыдущим кражей, возобновила onchain активность после почти двух лет бездействия.
Данные блокчейна показывают, что украденные средства теперь вносятся в Tornado Cash, а движение активов ускоряется в последние дни.
Покойный адрес кражи снова активен
Адрес кражи, идентифицированный как 0xFe7e039cC5034436C534d5E21A8619A574e206F8, почти два года не показывал заметной активности.
Этот период бездействия закончился, когда средства снова начали перемещаться onchain.
Записи блокчейна указывают, что адрес переводил активы без предупреждения. Наблюдатели отметили, что время перемещений указывало на запланированный возврат, а не случайные движения.
Возобновление активности привлекло внимание из-за размера задействованных средств. Ранее этот адрес связывали с украденными активами.
Средства переведены с DAI на ETH
По данным Specter, перед взаимодействием с Tornado Cash, адрес кражи переместил около 5,8 миллиона долларов в DAI.
Перевод был осуществлен на новый созданный кошелек. Этот свежий кошелек затем обменял DAI на ETH, изменив тип актива перед дальнейшими перемещениями.
Атакующий возобновил активность после почти двух лет бездействия и теперь вносит украденные средства в Tornado Cash.
Всего было внесено 5,4 млн долларов.
До этого адрес кражи перевел 5,8 млн DAI на новый кошелек, который затем был обменян на… https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U
— Specter (@SpecterAnalyst) 26 января 2026 г.
Такие обмены часто используются для подготовки средств к использованию инструментов приватности. ETH обычно применяется для депозитов в Tornado Cash.
После обмена баланс ETH был разбит на меньшие части. Эти части затем отправлялись в контракты Tornado Cash.
5,4 млн долларов внесены в Tornado Cash
Данные блокчейна показывают, что на данный момент в Tornado Cash внесено около 5,4 миллиона долларов. Депозиты следовали четкому и повторяющемуся шаблону.
Атакующий отправил 100 ETH в двадцати отдельных транзакциях. Дополнительные депозиты включали три перевода по 10 ETH.
Также были сделаны меньшие депозиты. В них входили восемь переводов по 1 ETH и девять — по 0,1 ETH.
Этот шаблон соответствует предыдущему использованию Tornado Cash. Такое поведение часто предназначено для смешивания депозитов с другими.
Депозиты происходили через несколько транзакций, а не одним крупным переводом. Такой подход усложняет анализ транзакций.
Связанное чтение: Хакер, укращший 282 миллиона долларов на прошлой неделе, отмывает 63 миллиона через Tornado Cash: CertiK
Отслеживание onchain и текущий статус
Несмотря на использование Tornado Cash, части следа транзакций остаются видимыми. Аналитики все еще могут отслеживать депозиты и временные шаблоны.
Пока что подтвержденных транзакций вывода, связанных с атакующим, не было. Средства остаются внутри пулов Tornado Cash.
Активность указывает на аккуратную и задержанную стратегию. Длительный период бездействия мог быть предназначен для снижения внимания.
Обеспечивающие безопасность наблюдатели продолжают следить за связанными адресами. Любые будущие выводы могут раскрыть дополнительные связи.
Дело добавляет к недавним примерам задержанных движений средств. Оно показывает, как украденные активы могут всплывать спустя годы.
На данный момент внесено 5,4 миллиона долларов. Возможны дальнейшие перемещения, если злоумышленник продолжит активность.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Протокол конфиденциальности Umbra отключил фронтенд, чтобы блокировать злоумышленников от отмывания похищенных средств Kelp
Сообщение Gate News, 22 апреля — Протокол конфиденциальности Umbra отключил свой фронтенд-сайт, чтобы не допустить, чтобы злоумышленники использовали протокол для перевода похищенных средств после недавних атак, включая компрометацию протокола Kelp, приведшую к потерям свыше $280 миллиона. Примерно $800,000 похищенных
GateNews27м назад
SlowMist 23pds Уведомление: Lazarus Group выпустила новый набор инструментов для macOS, нацеленный на криптовалюты
Главный информационный директор по вопросам кибербезопасности «Slow Mist» 23pds 22 апреля опубликовал предупреждение, в котором говорится, что хакерская группа из Северной Кореи Lazarus Group выпустила новый нативный для macOS набор инструментов вредоносного ПО «Mach-O Man», предназначенный специально для криптовалютной отрасли и руководителей компаний с высокой ценностью.
MarketWhisper1ч назад
Джастин Сан подает в суд на World Liberty Financial из-за замороженных токенов WLFI и прав управления
Сообщение Gate News, 22 апреля — Джастин Сан подал иск в федеральный суд США в Калифорнии против World Liberty Financial (WLF), проекта DeFi, поддерживаемого Эриком Трампом и Дональдом Трампом-младшим, утверждая, что команда заморозила все его активы WLFI, лишила его прав голоса и пригрозила навсегда сжечь
GateNews3ч назад
Атакующий Venus Protocol перевёл 2301 ETH, поступило в Tornado Cash для отмывания
Согласно ончейн-анализу от Ai тёти 22 апреля, злоумышленник Venus Protocol за 11 часов до этого перевёл на адрес 0xa21…23A7f 2 301 ETH (примерно 5,32 млн долларов США), затем разбил средства на несколько частей и завёл их в криптовалютный миксер Tornado Cash для отмывания; на момент мониторинга злоумышленник всё ещё держит на блокчейне около 17,45 млн долларов США в ETH.
MarketWhisper3ч назад
Обнаружена нулевая уязвимость в CometBFT: узлы сети Cosmos на 8 миллиардов долларов США сталкиваются с риском полного зависания
Исследователь по безопасности Дойён Парк 21 апреля публично раскрыл, что в уровне консенсуса Cosmos CometBFT существует критическая уязвимость нулевого дня с оценкой CVSS 7.1, которая может привести к атаке вредоносными одноранговыми узлами на этапе синхронизации блоков (BlockSync) с последующей блокировкой узлов, затрагивая сеть, обеспечивающую защиту более 8 миллиардов долларов США активов.
MarketWhisper4ч назад
Северокорейская группа Lazarus выпускает новое вредоносное ПО для macOS Mach-O Man, нацеленное на криптовалюты
Резюме: Группа Lazarus выпустила нативный набор вредоносного ПО для macOS под названием Mach-O Man, предназначенный для криптоплатформ и высокопоставленных руководителей; SlowMist предупреждает пользователей проявлять осторожность в отношении атак.
Аннотация: В статье говорится, что группа Lazarus представила Mach-O Man — нативный для macOS набор вредоносного ПО, нацеленный на криптовалютные платформы и высокопоставленных руководителей. SlowMist предупреждает пользователей проявлять осторожность, чтобы снизить риск потенциальных атак.
GateNews4ч назад
