В четверг, 25 января, платформа выявила необычную активность и приостановила вывод средств. На тот момент было похищено около $30 миллионов, однако атака продолжилась, и размер убытков существенно увеличился.
Генеральный директор Phemex Федерико Вариола заявил в соцсети X, что холодные кошельки компании находятся в безопасности, и пообещал предоставить обновлённую информацию по ходу расследования инцидента . Тем временем, украденные средства начали перемещаться через различные блокчейн-системы.
Анализ транзакций показывает, что злоумышленники атаковали сразу несколько блокчейнов, таких как Ethereum, Avalanche, Binance Smart Chain, Solana и Tron. Наибольшие потери были нанесены криптовалютам BTC, ETH, SOL, а также стейблкоинам USDC и USDT. Чтобы избежать блокировки стейблкоинов, хакеры быстро конвертировали их в ETH и другие активы.
По данным исследовательской платформы Arkham, злоумышленники применяли сложный, но вручную управляемый метод: активы перемещались через многочисленные адреса и сети, затрудняя их отслеживание. В ходе атаки были задействованы не менее восьми адресов на блокчейне Ethereum и множество других адресов на платформах второго уровня.
Подозрения о возможной причастности Северной Кореи обусловлены сходством методов с предыдущими атаками, такими как операция TraderTraitor, в результате которой японская биржа DMM потеряла $308 миллионов. Эксперты подчеркивают, что атака, вероятно, была организована опытной группой, ранее осуществлявшей подобные взломы.
Phemex заявила, что продолжает расследование и разрабатывает план компенсации для пострадавших клиентов. В настоящее время компания хранит около $1,8 миллиарда активов, из которых $1,1 миллиарда приходится на её собственный токен PT.