Leçons d'une attaque de 37 millions de dollars : comment un processeur de paiement ukrainien a été piraté

L'exploitation des protocoles DeFi est depuis longtemps devenuele type de crime le plus populaire lié aux cryptomonnaies, tandis que les piratages d'échanges traditionnels sont devenus beaucoup moins fréquents. Mais les cybercriminels n'ont T perdu tout intérêt pour le bon vieux vol numérique.

Le récent piratage d'un processeur de paiement Crypto CoinsPaid montre que les groupes de cybercriminels les plus industrieux au monde sont toujours prêts à dépenser des ressources considérables pour pénétrer dans des entités centralisées.

CoinsPaid, une société ukrainienne enregistrée en Estonie,signalé Le 22 juillet, un piratage informatique a entraîné des pertes en Crypto estimées à 37,3 millions de dollars. Selon le PDG Max Krupyshev, l'entreprise a finalement remboursé ses clients sur ses fonds propres. Parmi ces clients figurent probablement des casinos en ligne, qui selon un groupe de renseignement Blockchain, sont des utilisateurs répandus de CoinsPaid.

De manière détailléeexplication Suite à l'incident publié lundi, CoinsPaid a déclaré que, compte tenu du comportement des voleurs sur la blockchain, il s'agissait très probablement du groupe nord-coréen Lazarus ou d'une association avec celui-ci. Pour détourner l'argent de CoinsPaid, les attaquants ont utilisé des portefeuilles, dont ONE repéré lors d'une autre attaque récente attribuée à Lazarus : le Piratage du portefeuille atomiqueen juin, Blockchain Intelligence Groupa écrit.

Les attaquants ciblaient CoinsPaid depuis des mois avant de finalement réussir leur vol, a indiqué CoinsPaid. Les tentatives de pillage et d'ingénierie sociale ont débuté en mars, notamment une Request provenant d'une personne se faisant passer pour une autre start-up ukrainienne spécialisée dans le traitement de Crypto , qui interrogeait les développeurs de CoinsPaid sur l'infrastructure technique de l'entreprise, selon le billet de blog. Les attaquants ont également tenté de corrompre le personnel de CoinsPaid et se sont livrés à des attaques par déni de service distribué (DDOS) visant les serveurs de l'entreprise.

À la pêche aux employés crédules

Puis, en juillet, plusieurs employés ont reçu des offres d'emploi alléchantes de comptes LinkedIn se faisant passer pour des recruteurs d'autres entreprises de Crypto , dont la plateforme d'échange Crypto. « Par exemple, certains membres de notre équipe ont reçu des offres d'emploi avec des rémunérations allant de 16 000 à 24 000 dollars par mois », peut-on lire dans le billet de blog.

Après avoir établi un premier contact, les faux recruteurs ont demandé aux employés d'installer JumpCloud, une plateforme d'authentification des utilisateurs qui aurait également étépiratéLazarus en juillet, ou un autre logiciel, vraisemblablement pour effectuer une tâche de test. Plusieurs employés ont mordu à l'hameçon et installé un logiciel malveillant, ce qui a permis aux attaquants d'accéder à l'infrastructure de CoinsPaid.

Un vendredi 21 juillet, tard dans la nuit en Europe, les attaquants ont accédé au nœud blockchain de CoinsPaid et ont demandé un retrait important d' USDT, de Bitcoin et de plusieurs jetons ERC20 basés sur Tron et fonctionnant sur la blockchain Ethereum , a déclaré Pavel Kashuba, directeur financier de CoinsPaid, lors d'une interview accordée à CoinDesk . La phase active de l'attaque a duré environ quatre heures et 23 minutes, a-t-il précisé.

Bien que les voleurs aient eu libre accès aux serveurs de l'entreprise, ils n'ont pas compromis les clés privées des portefeuilles de CoinsPaid, a déclaré le PDG Max Krupyshev à CoinDesk: « Dès que nous avons éteint nos serveurs, les transferts ont cessé. » Il a ajouté que, lorsque l'entreprise a créé de nouveaux portefeuilles avec les mêmes clés, ceux-ci n'ont T été vidés, confirmant que les clés étaient en sécurité.

Je ne peux T bloquer ça

L'entreprise a tout de même perdu de l'argent. La plupart des fonds volés, sous forme d' USDT sur la blockchain TRON , ont été échangés contre des USDT sur Avalanche via des ponts inter-chaînes, puis transférés vers la plateforme d'échange décentralisée SwftSwap, a déclaré Krupyshev. Les attaquants ont également utilisé les plateformes d'échange décentralisées Uniswap et SunSwap, ainsi que les plateformes centralisées Binance, Huobi, Kucoin, Bybit, Bitget et MEXC, selon l'article de blog post-mortem.

Bitcoin a été blanchi via le mélangeur Sindbad, qui, selon la société de renseignement blockchain Elliptic, est le le mixeur le plus populaire auprès des hackers nord-coréens.

CoinsPaid a déclaré que, bien qu'ils aient informé les échanges centralisés dès qu'ils ont vu des fonds y circuler, l'étiquetage des adresses liées à la criminalité et la prise de mesures par les échanges sont un processus trop lent pour KEEP les pirates, qui encaissaient en quelques minutes.

Kashuba a exprimé sa frustration face à la lenteur des forces de l'ordre à convaincre les plateformes d'échange de geler les comptes criminels. « Il faut bloquer l'argent, mais il a déjà disparu », a-t-il déclaré.

En fin de compte, les plateformes d'échange doivent veiller à l'hygiène numérique et à la formation adéquate de leur personnel, a déclaré Kashuba. Et cela vaut pour tous les types de cybercriminalité.