一次价值450万美元的HEX黑客袭击动摇了其赌注生态系统，揭露了网络钓鱼、洗钱和掏空钱包的操作。

调查

一位名为“HEX 19”的加密货币巨鲸在持续的黑客攻击中损失了近450万美元，其质押的HEX（HEX）在漫长的时间里被逐渐耗尽。

起初，这看起来像是HEX巨鲸在套现。但不久之后，社区意识到他并没有主动解质押他的代币，而是成为了一次重大攻击的受害者。

这次网络攻击始于2021年11月，涉及多个钓鱼钱包，并被追踪到一个名为“Konpyl”的在线实体，这是加密货币调查人员熟悉的威胁行为者。

此次漏洞不仅动摇了代币的价格，还揭露了一系列与Inferno Drainer和2024年2月价值160万美元的假Rabby钱包骗局相关的欺诈行为。

HEX代币价格在HEX19黑客事件后下跌，来源：CoinGecko

HEX黑客及其关系网络

一位与Cointelegraph交流的区块链调查员匿名表示：“与假Rabby应用骗局中使用的钱包有直接的对手方暴露，HEX19受害者的资金直接流入用于洗钱非法Inferno Drainer钓鱼骗局收益的钱包。”

受害者钱包的第一批主要外流发生在2021年11月，并在接下来的几年中持续进行，因为锁定在十年期质押中的资产不断解锁，其中一些被黑客提前关闭，并受到处罚。

HEX19钱包在11月21日损失了近400万美元，来源：Arkham Intelligence

调查人员深入分析与HEX19黑客相关的钱包时，发现这并不是黑客的单一事件。这些相同的地址一次又一次地出现在钓鱼活动、钱包耗尽和洗钱轨迹中。

HEX19黑客使用的钱包、假Rabby钱包骗局以及与Inferno Drainer相关的几个计划共享一个共同地址：Konpyl。

在2024年10月的调查中，Cointelegraph的杂志分析了由一位调查员和美国政府机构收集的链上和链下证据，将Konpyl与Konstantin Pylinskiy联系起来，他是迪拜一家投资公司的高管，并在其在线活动中使用这个昵称。Pylinskiy否认与骗局有任何关联。

调查人员表示，攻击HEX19是可能的，因为受害者在云中存储了他的种子短语。交易记录显示黑客使用受害者资金进行初始转账到他们的非法账户，这是Konpyl相关计划的一个共同特征。

“HEX19黑客遵循‘Konpyl’其他骗局的类似模式，”他们表示。

在2024年11月的一份报告中，Cointelegraph了解到与Konpyl相关的钱包与Inferno Drainer相关的骗局有大量互动，这是一个骗局即服务的威胁行为者。

Fairside Network（一个加密货币保险公司）的法医专家兼调查负责人Fantasy告诉Cointelegraph，Konpyl可能更像是洗钱代理，而不是直接攻击者。

HEX黑客内幕

第一批资金在2021年11月21日开始从钱包中转移，但区块链记录显示，钱包可能早在11月3日就已被妥协，因为受害者钱包（0x97E…7a7df）有一次资金流出到其中一个黑客钱包。

在11月21日，HEX19通过九次独立交易耗尽了近400万美元。大部分损失都是HEX代币。主要目的地是地址0xcfe…8A11D，我们将其称为HEX Hacker 1（HH1）。

• 同一天，HH1开始分割被盗资金，他们将264万美元（1233万HEX）转移到第二个钱包0xA30…2EA17，也称为HEX Hacker 2（HH2）。
• 2021年12月10日的后续交易又将61,6700 HEX（当时价值约86,700美元）从HH1转移到HH2。
• 在2022年2月18日，HH1将520万HEX（当时价值约100万美元）和一些以太币（ETH）转移到另一个地址0x719a...4Bd0c，资金至今仍停留在那里。

HH2钱包似乎是洗钱努力的核心。

• 从2021年12月到2022年3月，HH2向以太坊最著名的匿名化协议Tornado Cash发送了超过100万美元。
• HH2还将106,758 Dai（DAI）转移到一个中介钱包0x837…2Ba9B，该钱包用于与去中心化金融（DeFi）平台如1inch的互动，以进一步模糊或交换资金。
• 中介钱包与0x7BF…C4eAa互动，该地址直接接收来自Konpyl（在众多钓鱼和耗尽操作中出现的在线角色）的资金流入。
• HH2的洗钱链还与一个高风险钱包——0x909…e4371——相交，该钱包因超过70次可疑交易而被标记。

• 在2024年5月16日，第三个钱包Hex Hacker（HH3）——0xdCe…4f0d8——开始从被妥协的HEX19地址中提取资金。
• HH3已从受害者账户中收到约10,8000美元的HEX。
• HH3连接到0x87B…53d92，这是Cointelegraph在11月调查中之前识别为与Inferno Drainer相关骗局的一部分的地址。该钱包与Konpyl共享一个混合地址（0xF2F...6a608），连接2024年3月与Inferno相关的骗局和Rabby钱包钓鱼事件。

最后，第四个钱包0x7cc…59ee2——HEX Hacker 4（HH4）——也开始参与。从2024年1月12日开始，HH4通过三月从HEX19钱包中抽取资金。

该钱包与一个已知由假Rabby钱包骗子使用的地址0x4E9…c71C2互动。

HEX19黑客事件的教训

HEX19，这位退休的科技老兵，经历了繁荣和萧条，却从未在一天之内从他的数字钱包中清空数百万美元。

他报了警，但交易所无能为力。剩余的质押资金，包括十年期HEX锁定，成为了定时炸弹。他意识到黑客已经获得了访问权限，只在等待提取更多。

Cointelegraph发现至少有180次可疑交易，从2021年11月到2024年10月，总额超过450万美元。受害者的钱包仍有九个活跃质押，尽管它们的价值相较于那些被窃者提前关闭和提取的资产明显较低。

活跃质押的价值不如被黑客关闭的那些，来源：HEXscout

“那一刻你觉得，‘哦，天哪。’ 然后你又想，‘天啊，我又搞砸了，我得告诉家人，’”HEX19说道，这位80多岁的退休人员在被HEX社区成员Mati Allin采访后如此表达。Cointelegraph试图联系HEX19，但未收到回复。

尽管遭受损失，HEX19保持了令人惊讶的冷静：“我们已经退休，过着无债务的生活，生活得十分简单。我们有一个伟大的家庭，优秀的女儿，孙女，”他在2021年社区采访中表示。“生活不仅仅是金钱。”

他虽然不指望能找回资金，但希望自己的经历能警示他人，在将种子短语存储在线之前应仔细考虑。

相关文章：澳大利亚监管机构将关闭95家与加密货币和浪漫骗局有关的“多头”公司