Обзор новостей информационной безопасности с 11 по 17 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой зловредной кампании распространяют вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи.

Особенности кампании

1. Hijack Loader, также известный как DOILoader и SHADOWLADDER, распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов.

2. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.

3. Эксперты наблюдали три вариации вредоносного скрипта PowerShell с середины сентября этого года. Среди них — скрипты, использующие «mshta.exe» и «msiexec.exe» для выполнения кода и загрузки вредоносных данных с удалённых серверов.

4. Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader.

5. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.

Злоумышленники взламывают неактивные профили россиян в WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) для дальнейшего обзвона и обмана других пользователей мессенджера под видом сотрудников банков или сотовых операторов.

Как действуют преступники

1. Мошенники взламывают аккаунты неактивных пользователей и начинают обзвон других пользователей мессенджера, выдавая себя за сотрудников банков или сотовых операторов.

2. Для создания доверия мошенники могут изменить изображение профиля на логотип компании.

3. Звонки поступают через мессенджер с номера жертвы, не подозревающей о взломе, что затрудняет идентификацию мошенничества. В результате со взломанного аккаунта могут проводиться массовые обзвоны.

4. Чаще всего жертвами такой схемы становятся пожилые люди, которым мессенджер установили дети или внуки.

Инциденты

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) сообщил, что каналы связи и инфраструктура нескольких операторов связи, а также инфраструктура крупного хостинг-провайдера подверглись массированным DDoS-атакам.

Максимальная мощность кибератаки составила до 1,73 Тбит/с. В атаке в основном принимали участие IP-адреса, зарегистрированные в США, Швеции и Великобритании, говорится в сообщении.

Атаки были успешно отражены с помощью средств Национальной системы противодействия DDoS-атакам (НСПА), созданной Роскомнадзором. Система обеспечивает дополнительную защиту ресурсов российского сегмента Интернета с использованием возможностей трансграничных технических средств противодействия угрозам (ТСПУ).

Хакер под ником IntelBroker заявил, что 6 октября он и его сообщники (EnergyWeaponUser и zjj) взломали компанию Cisco и похитили большое количество данных о разработчиках.

«Скомпрометированные данные: проекты Github, проекты Gitlab, проекты SonarQube, исходный код, жестко закодированные учетные данные, сертификаты, SRC клиентов, конфиденциальные документы Cisco, тикеты Jira, API-токены, приватные бакеты AWS, технологические SRC Cisco, сборки Docker, бакеты Azure Storage, приватные и публичные ключи, SSL-сертификаты, премиум-продукты Cisco и многое другое», — гласит сообщение IntelBroker на хакерском форуме.

В своём посте IntelBroker поделился образцами украденных данных, включая БД, информацию о клиентах, различную документацию для заказчиков и скриншоты порталов управления.

Хакер не предоставил никаких подробностей о том, как были получены все эти данные.

Представители Cisco сообщили журналистам, что уже расследуют эти заявления хакеров.

Японская компания Game Freak, совладелец и основной разработчик серии игр Pokemon, подтвердила, что в августе стала жертвой хакерской атаки.

Источник неожиданной откровенности — публикация на различных сайтах, в Discord, X и на Reddit многочисленных скриншотов исходных кодов и сборок предстоящих игр Pokemon, разработанных Game Freak.

Хотя Game Freak не признала факт утечки данных, в компании подтвердили, что в результате хакерской атаки были украдены личные данные 2600 сотрудников, подрядчиков, бывших работников, а также бывших партнеров по бизнесу.

Известно, что в руки хакеров попали полные имена и email-адреса сотрудников, то есть потенциальные риски от этой утечки должны ограничиваться фишинговыми атаками и таргетированным брутфорсом. Компания обещает, что с пострадавшими в результате этого инцидента свяжутся в индивидуальном порядке.

Хакеры похитили данные о системах Push-to-Talk (PTT) компании Verizon, предназначенных для государственных учреждений и служб быстрого реагирования.

Слабым звеном оказалась не сама Verizon, а сторонний провайдер, с которым сотрудничает компания.

Информацию выставил на продажу некто под ником Cyberphantom. Он заявил изданию, что работает с сообщником под ником Judische и ответственен за крупные взломы, вроде атак на AT&T и Ticketmaster.

Похищенные у Verizon данные действительно имеют некоторое сходство с информацией, украденной у компании AT&T летом текущего года. Тогда хакеры похитили метаданные звонков и текстовых сообщений 109 млн абонентов.

Взломщик подтвердил журналистам, что речь в объявлении идет о Verizon и добавил, что данные были получены из PTT-систем компании. Хотя Cyberphantom предоставил изданию несколько образцов данных, он отказался предоставить семпл, в котором фигурировали бы адреса и имена, упомянутые в объявлении.

Хакер сообщил, что не собирался вымогать у компании деньги, а решил сразу продать украденную информацию.

Обзор новостей информационной безопасности с 4 по 10 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия.

Как действуют преступники

1. Злоумышленники используют для удалённого доступа к системам жертв агент для легитимной платформы MeshCentral.

2. Агент загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи получают в фишинговых письмах.

3. Перед атаками злоумышленники из Awaken Likho собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.

4. Вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.

5. После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удалённый доступ к устройству цели.

Обнаружена новая схема мошенничества, связанная с блогерами, на которых подписано более 10 тыс. человек.

Особенности кампании

1. Преступники регистрируют фальшивые сайты и завлекают туда блогеров, которые в соответствии с законом обязаны предоставить сведения о себе в специальный перечень Роскомнадзора.

2. Кибераферисты обещают помочь с подачей данных и получить регистрацию СМИ без дополнительных сложностей.

3. За последние три месяца было зарегистрировано почти 500 подобных доменов и Telegram-каналов.

4. Никаких проблем с подачей документов в Роскомнадзор на самом деле нет, всё происходит быстро и бесплатно.

5. У доверчивых блогеров воруют личные данные и списывают деньги за «услугу» ускоренной регистрации.

6. В результате вместо передачи данных в РКН люди добровольно отдают информацию злоумышленникам, да ещё и платят им деньги.

Инциденты

Кибератака нарушила работу студии Red Barrels, разработчика популярных хоррор-игр Outlast и Outlast 2.

Представители Red Barrels сообщили, что внутренние IT-системы студии подверглись несанкционированному доступу, в результате чего злоумышленники получили доступ к части данных компании. Сразу после обнаружения атаки были приняты меры по обеспечению безопасности систем и содержащейся в них информации.

По заявлению Red Barrels, атака нанесла значительный ущерб производственным планам компании. В связи с этим некоторые этапы разработки будут задержаны, но студия приложит все усилия, чтобы следовать первоначальному плану. Ожидается, что в ближайшее время будут предоставлены более детальные обновления по этому вопросу.

Red Barrels не раскрыла подробностей о похищенных данных, однако получившие к данным утечки СМИ сообщают, что злоумышленники завладели исходными кодами игр, билдами, данными о сотрудниках и даже информацией о кредитных картах компании.

Утечка данных платформы онлайн-банкинга Bankingly затронула клиентов по всей Центральной и Южной Америке.

В открытом доступе обнаружены 7 хранилищ Azure Blob Storage, содержащие персональные данные почти 135 000 клиентов в Латинской Америке.

Утечка затронула жителей Доминиканской Республики, Мексики, Эквадора, Сальвадора, Боливии и Коста-Рики. Большая часть пострадавших, около 100 000 человек, — граждане Доминиканской Республики.

Под угрозой оказались следующие данные:
— ФИО;
— логины пользователей финансовых приложений;
— адреса электронной почты;
— номера телефонов.

Неизвестные злоумышленники взломали сайт Wayback Machine и похитили БД пользователей, содержащую более 31 млн уникальных записей.

Об атаке стало известно 9 октября 2024 года. Первыми взлом заметили посетители сайта archive.org, так как хакеры создали JavaScript-оповещение, в котором заявили, что Internet Archive скомпрометирован.

Похищенная БД содержит информацию о зарегистрированных пользователяъ, включая их адреса электронной почты, псевдонимы, временные метки смены паролей, хешированные bcrypt пароли и другую внутреннюю информацию.

В открытом доступе опубликованы данные клиентов сети быстрого питания «Бургер Кинг».

В дампе 5,6 млн строк за промежуток времени с 31.05.2018 по 25.08.2024. Каждая строка содержит:

• имя,
• телефон (4 886 993 уникальных номера),
• адрес эл. почты (3 163 628 уникальных адресов),
• дату рождения,
• пол,
• город,
• любимую категорию/блюдо,
• дату заказа.

Эксперты считают, что данные получены из мобильного приложения.

Хакерская группировка DumpForums заявила о компрометации инфраструктуры компании «Доктор Веб».

Через официальный Telegram-бот компании пользователям пришли сообщения о взломе, а хакеры уже опубликовали дампы нескольких БД внутренних ресурсов.

Как сообщают эксперты DLBI, хакеры обнародовали дампы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и других ресурсов, содержащих актуальные на 17 сентября 2024 сведения.

В своем Telegram-канале группировка заявляет, что похитила у компании более 10 ТБ данных и скрывалась в сети компании более месяца:

«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Все проекты по улучшению безопасности теперь, кажется, нуждаются в защите сами по себе. Не оставили без внимания и ресурсы по управлению ПО. Клиентские базы данных. Да, данные пользователей, которые доверяли Dr.Web свою безопасность, мы так же выгрузили. Вишенка на торте — домен контроллер. Овладев им, нам оставалось лишь пополнять наши накопители, выгружая все больше данных».

Бывший сотрудник «Доктор Веб», пожелавший сохранить анонимность, подтвердил подлинность информации на опубликованных хакерами скриншотах.

Представители «Доктор Веб» выпустили официальное заявление, в котором настаивают, что сообщения о взломе не соответствуют действительности.

В открытом доступе обнаружены данные 1,2 млн клиентов магазина «Детский мир». Скомпрометированы пользователи сайта, мобильных приложений под Android и iOS.

В базе содержатся следующие данные:

• номер бонусной карты;
• фамилия имя;
• телефон (1 082 110 уникальных);
• эл. почта (1 079 373 уникальных);
• метка юзер-агент (IOSApp, AndroidApp, website);
• дата покупки.

Актуальность данных в утечке — август 2024 года.

На одном из теневых форумов выложили частичный дамп базы данных маркетплейса «Ярмарка Мастеров».

Полный дамп содержит: ФИО, 3,3 млн уникальных номеров телефонов, 6,3 млн уникальных адресов эл. почты, адреса доставки, данные заказов, частичные номера банковских карт, ссылки на соц. сети, IP-адреса и многое другое.

Информация актуальна на 05.10.2024.

Кибератака вызвала серьёзные сбои в работе японской компании Casio 5 октября и повлияла на доступность ряда услуг.

В настоящий момент компания совместно с привлечёнными внешними специалистами проводит расследование для выяснения масштабов и последствий взлома. Основное внимание уделяется проверке возможной компрометации личных данных и другой конфиденциальной информации.

Компания заверила своих клиентов и партнёров, что предпринимаются все необходимые шаги для защиты её сетевой инфраструктуры и предотвращения подобных инцидентов в будущем. «Мы быстро отреагировали на ситуацию и сотрудничаем с экспертами для улучшения нашей системы безопасности», — говорится в официальном заявлении.

Мошенники взломали сайт Lego и рекламировали там фальшивый токен Lego, который можно купить за Ethereum.

Во время атаки баннер на главной странице сайта заменили на картинку, изображавшую криптовалютные токены с логотипом Lego и текстом: «Наш новый Lego Coin официально запущен! Покупайте новую монету Lego сегодня и получайте секретные награды».

Взлом произошел около 21:00 вечера 4 октября 2024 года. Уже в 22:15 сайт очистили от рекламы несуществующего токена, то есть «время славы» взломщиков составило 75 минут.

Мошенники, стоящие за этой атакой, не заманивали пользователей на вредоносный сайт с малварью для кражи криптовалюты. Кликнув по ссылке «Купить сейчас», посетители попадали на платформу Uniswap, где могли приобрести мошеннический токен Lego, используя Ethereum.

Представители Lego подтвердили факт взлома, однако не стали делиться подробностями о том, как именно хакеры сумели получить доступ к сайту.

ИТ-системы Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК) подверглись «беспрецедентной хакерской атаке» в ночь на 7 октября 2024 года. Представители медиахолдинга заверили, что инцидент не нанес существенного урона работе.

Утром 7 октября СМИ сообщили, что онлайн-вещание и внутренние сервисы ВГТРК перестали работать из-за хакерской атаки:

«ВГТРК подверглась беспрецедентной хакерской атаке. Не работает онлайн-вещание и внутренние сервисы, даже интернета нет и телефонии. Это надолго. Слышал, что стерли все с серверов, включая резервные копии. Они работают в аврале с 6 утра.»

Вскоре факт атаки подтвердили и сами представители медиахолдинга:

«В ночь на 7 октября онлайн-сервисы ВГТРК подверглись беспрецедентной хакерской атаке, однако существенный урон работе медиахолдинга нанесен не был, — сообщили ВГТРК. — Специалисты холдинга ведут работу над устранением последствий этого вредоносного вмешательства».

Представители ВГТРК подчеркнули, что, несмотря на попытки прервать вещание федеральных телеканалов и радиостанций холдинга, «все работает в штатном режиме, существенной угрозы нет».

Обзор новостей информационной безопасности с 27 сентября по 3 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Trend Micro предупреждает о новой фишинговой кампании, нацеленной на HR-специалистов. Злоумышленники рассылают фишинговые письма, замаскированные под обращения соискателей, чтобы проникнуть в сети крупных организаций и заразить их JavaScript-бэкдором «More_eggs».

Особенности кампании

1. Фишинговые письма направлялись сотрудникам по подбору персонала и содержали ссылку на загрузку резюме.

2. Фальшивое резюме упаковано в ZIP-архив, содержащий LNK-файл.

3. Когда жертва открывала архив и запускала ярлык, выполнялись зашифрованные команды, запускающие вредоносную DLL.

4. DLL после запуска скачивала и запускала бэкдор More_eggs.

5. Вредонос в процессе запуска проверяет уровень привилегий пользователя и выполняет команды для сбора информации о системе, после чего связывается с сервером управления для получения дополнительных модулей.

F.A.C.C.T. предупреждает о фишинговой кампании против российских организаций, в ходе которой распространяется вредоносное ПО RedLine Stealer, Agent Tesla, FormBook и Snake Keylogger.

Особенности кампании

1. Обычно преступник рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний.

2. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com

3. В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем, что указывает на использование VPN и прокси-серверов.

4. Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.

5. К письмам прилагался архив, содержащий вредоносный исполняемый файл. Если жертва запускала этот файл, на её компьютер устанавливался один из зловредов.

6. Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.

Инциденты

Группировка Handala Hack выложила в открытый доступ конфиденциальные данные экс-начальника Генштаба Армии обороны Израиля Габриэля Ашкенази и бывшего министра обороны Бенни Ганца.

23 сентября та же группа обнародовала 35 000 конфиденциальных писем, предположительно принадлежащих Бенни Ганцу. На следующий день хакеры добавили архив с 2 000 фотографиями Ганца, заявив, что обнаружили доказательства его участия во множестве «секретных встреч, имевших разрушительные последствия».

26 сентября хакеры опубликовали два защищенных паролем архива, якобы содержащих 60 000 секретных электронных писем Ашкенази. Чтобы подтвердить подлинность информации, Handala Hack выложили несколько личных фотографий политика.

30 сентября хакеры заявили о взломе израильского Центра ядерных исследований Сорек и краже 197 Гб данных.

Хакер взломал публичный Wi-Fi на 19 ж/д станциях в Великобритании и пугал подключающихся пассажиров сообщениями о терактах.

Сообщения появлялись на экранах устройств пользователей, подключившихся к сети Wi-Fi, которой управляет Network Rail. Сервис поддерживается подрядчиком Telent, а интернет предоставляет компания Global Reach Technology.

Telent заявила, что инцидент — это акт кибервандализма и подчеркнула, что ситуация не связана с проблемами безопасности сети или техническим сбоем. Сейчас Telent работает с Network Rail, Global Reach и транспортной полицией, чтобы устранить проблему, и планирует восстановить Wi-Fi к концу недели.

Один из пользователей, подключившись к Wi-Fi на одной из станций, увидел на экране сообщения с подробностями терактов в Великобритании и Европе, с фото из новостных репортажей. «Экран засветился странными предупреждениями и всплывающими окнами», — рассказал он. «Я начал паниковать — что, если это было что-то опасное?»

Представитель Network Rail подтвердил киберинцидент и сообщил, что атака могла затронуть и другие организации. На время расследования Wi-Fi-сервис приостановлен.

Злоумышленники взломали облачного хостинг-провайдера Rackspace и похитили «ограниченные клиентские данные».

Для проникновения в инфраструктуру Rackspace использовали уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.

ScienceLogic SL1 представляет собой платформу для мониторинга, анализа и автоматизации инфраструктуры организаций, включая облака, сети и приложения. Она позволяет осуществлять мониторинг в режиме реального времени, соотносить события и автоматизировать рабочие процессы для более эффективного управления и оптимизации ИТ-сред.

Компания Rackspace, предоставляющая услуги управляемых облачных вычислений (хостинг, хранение данных, ИТ-поддержка), использует ScienceLogic SL1 для мониторинга своей ИТ-инфраструктуры и сервисов.

Представители ScienceLogic сообщили, что оперативно выпустили патч для устранения проблемы и распространили его среди всех пострадавших клиентов.

Cloudflare сообщила об отражении рекордной DDoS-атаки, мощность которой достигала 3,8 Тбит/с.

Для проведения атаки предположительно использовался ботнет, состоящий из маршрутизаторов Asus и Mikrotik, а также DVR и веб-серверов. Целью атаки были неназванные глобальные финансовые организации, ИТ- и телеком-операторы.

Данная атака превзошла по мощности рекорд ноября 2021 года, когда злоумышленники пытались вывести из строя сервисы Microsoft. Тогда мощность атаки составила 3,47 Тбит/с.

Специалисты Cloudflare считают, что атака была проведена через ботнет, объединяющий скомпрометированные маршрутизаторы, DVR и веб-серверы, которые и генерировали мусорный трафик в большом объёме. Помимо устройств MikroTik были задействованы маршрутизаторы Asus, где недавно была обнаружена критическая уязвимость. Всего в атаке было использовалось более 157 тысяч устройств из разных стран, среди которых Вьетнам, Россия, Бразилия, Испания и США.

Хакеры атаковали информационное агентство AFP (Agence France-Presse, Агентство Франс Пресс) и нарушили нормальную работу его ИТ-систем и сервисов доставки контента. В организации подчеркивают, что атака не повлияла на освещение новостей, однако затронула некоторые клиентские сервисы.

ИТ-служба AFP совместно с национальным агентством по безопасности информационных систем Франции (ANSSI) работает над устранением последствий атаки. При этом пока не раскрывается никаких подробностей ни о самом инциденте, ни о стоявших за ним злоумышленниках.

В агентстве не уточнили, какие именно сервисы пострадали из-за случившегося, известно, что AFP предоставляет своим клиентам новостные ленты в режиме реального времени, контент-услуги по подписке, индивидуальные новостные пакеты и доступ к архивам контента. В настоящее время некоторые из этих сервисов могут не работать.

Представители AFP предупредили другие медиакомпании о том, что хакерская атака могла скомпрометировать учётные данные FTP, используемые для получения контента AFP.

Вымогатели нарушили работу университетского медцентра в Лаббоке, штат Техас. Больница не смогла принимать экстренных больных, поступающих со скорой помощи.

Больница обнаружила подозрительную активность в одной из своих IT-сетей и отключила её от основной компьютерной системы.

Представители больницы сообщили, что принимают меры для минимизации перебоев в лечении пациентов и работе критических служб, но расследование инцидента займёт какое-то время.

UMC — это больница уровня один, что означает, что она может справляться с самыми тяжелыми случаями и поддерживает круглосуточную команду специалистов. Центр является единственным подобным учреждением в радиусе почти 400 миль, и любое ухудшение его работы может быть опасным для жизни.

В результате атаки на протокол децентрализованных финансов Onyx похищены активы на сумму 3,8 млн долларов США.

Основной причиной кибератаки стал известный баг в кодовой базе Compound Finance версии 2, который уже использовался для кражи средств с Onyx в ноябре прошлого года.

Сообщают, что уязвимость существовала в контракте ликвидации NFT, который способствовал реализации атаки. Проблема заключалась в том, что контракт неправильно проверял ввод данных пользователей, что позволило злоумышленникам завысить вознаграждение за самоликвидацию активов.

Команда Onyx подтвердила факт использования этого уязвимого контракта и указала его как основной фактор, приведший к инциденту

По информации PeckShield, злоумышленники вывели 4,1 млн виртуальных USD (VUSD), 7,35 миллиона Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), около 5000 долларов США в стейблкоине Dai (DAI) и 50 000 в USDT. Общая сумма потерь составила более 3,8 млн долларов США.

Хакеры воспользовались связанной с uniBTC уязвимостью для хищения почти 2 млн долларов США в криптовалюте у DeFi-платформы Bedrock.

Команда Bedrock заверила пользователей, что инцидент уже находится под контролем и предпринимаются меры по устранению его коренных причин. Оставшиеся средства в безопасности, и в ближайшее время будет представлен план возмещения убытков. Bedrock также готовит отчет с подробным анализом произошедшего и пообещала вскоре поделиться им с сообществом.

Большинство потерь произошло в пулах ликвидности на децентрализованных биржах, однако, как отметила команда протокола, сами токены wrapped BTC и обычные BTC, хранящиеся в резервах, остались в безопасности.