Lecciones de un ataque de 37 millones de dólares: Cómo fue hackeado un procesador de pagos ucraniano

La explotación de los protocolos DeFi se ha convertido desde hace mucho tiempo en unaEl tipo de delito más común relacionado con las criptomonedasSi bien los ataques tradicionales a las casas de cambio se han vuelto mucho menos frecuentes, los ciberdelincuentes no han perdido el interés en el clásico robo digital.

El reciente hackeo al procesador de pagos Cripto CoinsPaid muestra que los grupos cibercriminales más trabajadores del mundo todavía están dispuestos a gastar enormes recursos para irrumpir en entidades centralizadas.

CoinsPaid, una empresa ucraniana registrada en Estonia,reportado El 22 de julio sufrió un ataque informático, con pérdidas estimadas en Cripto de 37,3 millones de dólares. Según el director ejecutivo, Max Krupyshev, la compañía terminó reembolsando a los clientes con sus propios fondos. Entre esos clientes probablemente se incluyen casinos en línea, que... según Blockchain Intelligence Group, son usuarios generalizados de CoinsPaid.

De forma detalladaexplicación Tras el incidente publicado el lunes, CoinsPaid afirmó que, a juzgar por el comportamiento en cadena de los ladrones, era muy probable que se tratara del grupo norcoreano Lazarus o de alguna asociación con él. Para extraer dinero de CoinsPaid, los atacantes utilizaron billeteras, entre ellas la detectada en otro ataque reciente atribuido a Lazarus. Hack de Atomic WalletEn junio, Blockchain Intelligence Groupescribió.

Los atacantes habían estado atacando a CoinsPaid durante meses antes de finalmente llevar a cabo el robo, según CoinsPaid. Los intentos de pesca de datos e ingeniería social comenzaron en marzo, incluyendo una Request de alguien que se hizo pasar por una startup ucraniana de procesamiento de Cripto , quien preguntaba a los desarrolladores de CoinsPaid sobre la infraestructura técnica de la empresa, según la entrada del blog. Los atacantes también intentaron sobornar al personal de CoinsPaid y realizaron ataques de denegación de servicio distribuido (DDOS) dirigidos a los servidores de la compañía.

Pescando a los empleados crédulos

Luego, en julio, varios empleados recibieron ofertas de trabajo lucrativas de cuentas de LinkedIn que se hacían pasar por reclutadores de otras empresas de Cripto , incluyendo la plataforma de intercambio Cripto. «Por ejemplo, algunos miembros de nuestro equipo recibieron ofertas de trabajo con salarios que oscilaban entre 16 000 y 24 000 USD al mes», decía la entrada del blog.

Después de hacer un contacto inicial, los falsos reclutadores pidieron a los empleados que instalaran JumpCloud, una plataforma para la autenticación de usuarios que, según se informa, tambiénhackeadoPor Lazarus en julio, u otro software, presumiblemente para realizar una prueba. Varios empleados mordieron el anzuelo e instalaron software malicioso, tras lo cual los atacantes obtuvieron acceso a la infraestructura de CoinsPaid.

Durante la noche del viernes 21 de julio, a última hora de la tarde en Europa, los atacantes accedieron al nodo blockchain de CoinsPaid y solicitaron una gran retirada de USDT, Bitcoin y varios tokens ERC20 basados ​​en Tron que operan en la blockchain de Ethereum , según declaró Pavel Kashuba, director financiero de CoinsPaid, a CoinDesk en una entrevista. La fase activa del ataque duró aproximadamente cuatro horas y 23 minutos, añadió.

Si bien los ladrones obtuvieron acceso gratuito a los servidores de la compañía, no comprometieron las claves privadas de las billeteras de CoinsPaid, dijo el CEO Max Krupyshev a CoinDesk: "Tan pronto como apagamos nuestros servidores, las transferencias se detuvieron". Agregó que, cuando la empresa creó nuevas billeteras con las mismas claves, estas no se drenaron, lo que confirmó que las claves estaban seguras.

No T bloquear esto

De todas formas, la empresa perdió dinero. La mayoría de los fondos robados, en forma de USDT en la blockchain de TRON , se intercambiaron por USDT en Avalanche mediante puentes entre cadenas y luego se enviaron a la plataforma de intercambio descentralizada SwftSwap, según Krupyshev. Los atacantes también utilizaron las plataformas de intercambio descentralizadas Uniswap y SunSwap, así como las plataformas centralizadas Binance, Huobi, Kucoin, Bybit, Bitget y MEXC, según la publicación del blog.

Bitcoin se lavó a través del mezclador Sindbad, que, según la firma de inteligencia blockchain Elliptic, es el El mezclador más popular entre los hackers norcoreanos.

CoinsPaid dijo que, si bien notificaron a los intercambios centralizados tan pronto como vieron que los fondos se movían allí, etiquetar las direcciones relacionadas con el delito y tomar medidas por parte de los intercambios es un proceso demasiado lento para KEEP el ritmo de los piratas informáticos, que estaban cobrando en cuestión de minutos.

Kashuba expresó su frustración por la lentitud de las fuerzas del orden para convencer a las casas de cambio de que congelen las cuentas delictivas. "Hay que bloquear el dinero, pero ese dinero ya se ha perdido", afirmó.

En definitiva, las bolsas deben prestar atención a la higiene digital y a la capacitación adecuada del personal, afirmó Kashuba. Y esto aplica a todo tipo de ciberdelito.