За последние 2 месяца северокорейская хакерская группировка Lazarus похитила криптовалюты на сумму более 290 млн долларов. Поэтому DefiLlama изучила методы, которые использовали воры для достижения своих целей.
Lazarus за 2 месяца украла криптовалюты на сумму более 290 млн долларов
По сравнению с предыдущими годами, 2023-й пока выглядит более редким по количеству взломов экосистемы: на данный момент их общая сумма составляет 635 млн долл. Однако за последние месяцы мы все же стали свидетелями нескольких значительных атак: только северокорейская группировка Lazarus за последние 2 месяца похитила криптовалюты на сумму более 290 млн. долл.
Учитывая эти цифры, аналитики DefiLlama провели расследование методов, используемых этими ворами, в частности, обратив внимание на недавний случай с CoinsPaid, ставшей несколько недель назад жертвой атаки на сумму 37 млн. долларов.
Действительно, была подтверждена связь с группой Lazarus, учитывая использование кошельков, участвовавших во взломах мостов Harmony и Atomic Wallet:
Несколько ночей назад мы с @zachxbt наткнулись на безумную прямую связь между средствами, украденными с Coinspaid/Alphapo Atomic Wallet Harmony.
Вчера вечером ~$8,5 млн. средств из Coinspaid/Alphapo (с остатками из Atomic Wallet) разлетелись по 300+ аддитивам в 3 цепочках.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
— Tay (@tayvano_) August 3, 2023
6 месяцев подготовки и различных атак
Перед атакой 22 июля хакеры Lazarus готовились более 6 месяцев, используя различные методы для взлома системы безопасности CoinsPaid.
Так, например, 7 июля на платформу была совершена массированная DDoS-атака, в которой участвовало 150 тыс. IP-адресов.
В июне-июле были зафиксированы попытки подкупа, а также фиктивные предложения о работе для инженеров платформы с зарплатой от 16 до 24 тыс. долл. в месяц.
На самом деле именно загрузка вредоносной программы одним из сотрудников, думавшим, что он проводит собеседование в Crypto.com, открыла лазейку, приведшую к успеху взлома. Код вредоносной программы позволил злоумышленникам получить доступ к системе CoinsPaid, чтобы использовать уязвимость.
Команда CoinsPaid рассказала DefiLlama о навыках социальной инженерии группы Lazarus:
«
«.
Хотя можно подумать, что попытка установить вредоносное ПО на компьютер сотрудника очевидна, хакеры потратили 6 месяцев на изучение всех возможных деталей о CoinsPaid, членах нашей команды, структуре компании и т.д. Высокопоставленные хакерские группы смогли использовать эту уязвимость в своих интересах. Хакерские группы высокого уровня, такие как Lazarus, способны создать абсолютно правдоподобную историю, чтобы использовать потенциальные цели в своих интересах. «
Хотя самые впечатляющие взломы обычно связаны с использованием проблем в исходном коде децентрализованных финансовых приложений (DeFi), здесь мы видим, что человеческий фактор не стоит недооценивать. И не зря: злоумышленникам зачастую проще использовать этот рычаг, чем искать технические уязвимости.