Памп и дамп: SHAR

В этом кейсе инструмент MetaSleuth использовался для отслеживания украденных средств, обеспечивая наглядное представление о масштабах инцидента и движении активов.

Памп и дамп: SHAR

Предыстория инцидента

23 октября в 14:00 по всемирному координированному времени (UTC) токен SHAR эффектно дебютировал, подскочив с начальной цены в $0,00056 до $0,05986. Рыночная капитализация проекта взлетела с нуля до $60 миллионов всего за один час — рост почти в 100 раз. В последующие часы появились негативные новости о команде SHAR — их обвинили в манипуляциях с помощью KOL (лидеров мнений). В результате цена SHAR в течение трёх следующих часов упала до $0,02393. Несмотря на негативный фон, многие пользователи полагали, что это не окажет значительного влияния на проект, так как несколько известных KOL продолжали покупать токены и выражали оптимизм по поводу будущего SHAR. С 18:00 до 20:00 цена токена постепенно восстановилась до $0,042.

23 октября в 21:26 UTC была инициирована транзакция адресом CHj3, в ходе которой 500 000 000 SHAR (почти 50% от общего объема предложения) были обменяны на 19 619 WSOL, что практически полностью опустошило пул ликвидности. В результате обмена цена SHAR рухнула до $0,0013, а рыночная капитализация упала до $3 миллионов, и всё это произошло всего за одну минуту. Владельцы монет SHAR стали жертвами «rug pull» (мошеннического вывода ликвидности).

Анализ движения средств через MetaSleuth

Используя MetaSleuth, мы можем чётко отследить потоки денежных средств в этом инциденте и выявить ценные улики. В период с 20 по 22 октября злоумышленник (лицо, контролирующее адрес CHj3) вывел в общей сложности 6045 SOL с четырёх бирж (Binance 2 — 2595 SOL, KuCoin — 950 SOL, MEXC 1 — 580 SOL и OKX 1 — 1920 SOL) и распределил их между 14 адресами. Все эти 14 адресов находились под контролем злоумышленника и служили двойной цели: искусственному завышению цены SHAR и накоплению значительного количества SHAR для финального «сброса». Ниже представлено движение средств от четырёх бирж к 14 адресам.

23 октября в 14:00 UTC, в течение двух минут после запуска SHAR, эти 14 адресов обменяли все имевшиеся у них SOL на SHAR, влив значительную стоимость в пул ликвидности и быстро подняв цену токена. Вот некоторые примеры таких транзакций (покупка SHAR): Q81H, 4Jxa, 5q5n, 3xvB. В течение получаса после приобретения SHAR злоумышленник перевёл все токены SHAR с этих 14 адресов на 104 других подконтрольных ему адреса, тем самым ещё сильнее распределив активы. Ниже представлен график потока активов, показывающий распределение SHAR для 4 из 14 адресов.

Эта стратегия рассредоточения позволила создать видимость того, что ни один адрес не владеет большим количеством SHAR, что помогало снизить беспокойство пользователей относительно безопасности активов. Однако анализ движения средств показывает, что, несмотря на распределение большого объёма SHAR по многочисленным адресам, всё это в конечном итоге контролировалось одним лицом (злоумышленником). У него сохранялась возможность продать все эти токены SHAR в любой момент и извлечь потенциальную стоимость из пула, что указывало на наличие значительного риска безопасности, связанного с проектом SHAR.

В конце концов, по мере роста цены SHAR злоумышленник счёл момент подходящим. 23 октября в 21:25 он одновременно перевёл все монеты SHAR со 104 контролируемых им адресов и консолидировал их на адресе CHj3. Минутой позже адрес CHj3 инициировал транзакцию, продав накопленные 500 000 000 токенов SHAR за один раз. Пул ликвидности был практически полностью истощён: злоумышленник получил 19 619 SOL, что по курсу на тот момент составляло около $4,2 млн. 23 октября в 21:26 все пользователи, хранившие SHAR, стали жертвами «сброса», так как стоимость принадлежавших им токенов упала в десять раз всего за одну минуту. На следующем графике показано, как монеты SHAR собираются с 52 из 104 адресов на адрес CHj3, а затем «сбрасываются» в пул.

Чтобы отследить, как злоумышленник обналичил незаконно полученную прибыль, мы продолжили следить за движением 19 619 SOL. Эти средства оставались на адресе CHj3 почти неделю, до 29 октября, 16:21 UTC, когда злоумышленник инициировал две транзакции — ajqYwt и 3uD6Ys — для перевода 6 000 SOL на другой подконтрольный ему адрес J7aV. В течение последующих 20 минут злоумышленник внёс эти 6 000 SOL на биржу OKX через две дополнительные транзакции: 5STJND и 3z6C72. Затем, в 19:52, ещё 5 000 SOL были переведены на адрес J1wF, и эти средства также были отправлены на биржу OKX в 19:53. Позже, в период с 4 по 10 ноября, злоумышленник постепенно обменял оставшиеся 8 600 SOL на адресе CHj3 на USDC и USDT. Мы перечисляем все транзакции обмена здесь: 2rGGMf, 5cWJte, 4AE6z7, 5HovYa, 4Da6zR, 5P9rmx, 5AAHn1, 5nm1Xy, Mn3Rxa. На момент написания статьи, 14 ноября, 08:30 UTC, все 1,41 млн USDC и 168 тыс. USDT, полученные в ходе обмена, остаются на адресе CHj3. Кроме того, на адресе CHj3 всё ещё хранятся около 19 SOL, которые пока не были обменены. Таково текущее состояние незаконно полученных 19 619 SOL. На следующем графике показаны обмены слева и депозиты на OKX справа.

Некоторые соответствующие адреса и транзакции

Адрес, ответственный за «сброс»: CHj3vHyMhF6DF3VkwhzgK833o7uvsN7CrPVyUdmbFo5E.

14 адресов, изначально аккумулировавших 500 000 000 SHAR:

  • E78TudQEcPwqiwnJ5HYEjJzogKPVAHGcLx7YRonxMuU3
  • 5Cyg8Y4jEKKgna8Pf4xVXWLtNRZmJQksU23p1GyKnToU
  • EzHJnPZ83RKvXzGDZLtfgoEBWoVjLEetMHFos2XcES6g
  • 5rXZD1pZjJqSLCNRSxhn3MQLvRQUQB5nDD1Gf8nNXjT3
  • 5MMdwsfXXcZNpK95mHFTtYz8K7JQ3JcboRNAimH61suC
  • DZnhX2VG7LKLvfB747DgAmahGBdARevBfeTM4K1p1Rz7
  • BnCFNcGHh6pMZXgHUHJi4a82Vfo2Xtcw818b9FNMU49P
  • 75fXUzEqjNeBtqhXzjAbVKa84AcfnvG59nMUnvb3SXUx
  • DEGdacTknp6BSYQc6fhJdfq9dZNZM3T4NBTSt8jnkygA
  • H6x6k37wSe7ZBUct4eHyHn6W1o2TTXfAy2z9WyvUNLpZ
  • Bhx3ZqViaRA4ZbXapro4VakYuS5bwhu2rc4cS8Dog1cy
  • RSaAciLFtxDVtBH3awdnrjrDmcGUQBjYTon2FPRpCJG
  • 3UtiQzi1HGH7sEg28T1sZpeQPLAb4m6Hive2cW6CV9XR
  • 86DrFintdQt5w7jyJjobFQ5hVU63rbneYnDfkqC9xAbL

Транзакции по внесению незаконно полученных средств на OKX1 (5VCwKtCXgCJ6kit5FybXjvriW3xELsFDhYrPSqtJNmcD):

  • 5STJNDbQBMbigzHf6mzCrtiM6s8QJjpQazzu5j7zC61uBB46V9NkumCw8UwWHXg7YxpomAFN664PnxHYMAU353q2
  • 3z6C72fm6VVGdkFW3VcpjTccq725ZuVWpcZJv3GM3DBp3D3oLVjq2nyaRDhNZbmG95fi9cTTZfZ8bT22rdXjdEfR
  • 64wMUp3VFz7pxZEpZak9uXAPfbEMBDiTWUGZLgECLn8fSMPexuR5ifRqJTSTpe98ELzRG676Pfe9xoXmG9DreiG1

Обзор движения денежных средств

104 адреса, контролируемые злоумышленниками для распределения SHAR, транзакции, через которые они собирали SOL с четырёх бирж для сброса, и другие подробности движения средств можно изучить в MetaSleuth. Узнайте больше и найдите важные улики прямо сейчас: https://metasleuth.io/result/solana/CHj3vHyMhF6DF3VkwhzgK833o7uvsN7CrPVyUdmbFo5E?source=5e4fca36-208b-4714-afb3-0800d5355323

Explore the crypto world with MetaSleuth for in-depth insights

Sign up for the latest updates
Pump and Dump: SHAR

Pump and Dump: SHAR

In this case study, MetaSleuth, an on-chain fund tracking and investigation tool, was used to trace the stolen funds, providing a clear view of the impact and fund flow.

Illicit Fund Flow Case Study: $55M DAI Phishing

Illicit Fund Flow Case Study: $55M DAI Phishing

In this case study, MetaSleuth, an on-chain fund tracking and investigation tool, was used to trace the stolen funds, providing a clear view of the attack’s impact and fund flow.

Illicit Fund Flow Case Study: LI.FI Attack

Illicit Fund Flow Case Study: LI.FI Attack

In the LiFi attack case study, MetaSleuth, an on-chain fund tracking and investigation tool, was used to trace the stolen funds, providing a clear view of the attack’s impact and fund flow.