Lezioni da un attacco da 37 milioni di dollari: come è stato hackerato un processore di pagamento ucraino

Lo sfruttamento dei protocolli DeFi è diventato da tempoil tipo di crimine più diffuso in ambito crittografico, mentre gli hack tradizionali degli exchange sono diventati molto meno frequenti. Ma i criminali informatici T hanno perso tutto l'interesse per la cara vecchia rapina digitale.

Il recente hack di CoinsPaid, un processore di pagamenti in Cripto, dimostra che i gruppi di criminali informatici più industriosi al mondo sono ancora disposti a spendere ingenti risorse per entrare in entità centralizzate.

CoinsPaid, una società ucraina registrata in Estonia,segnalato hackerato il 22 luglio, con perdite in Cripto stimate in 37,3 milioni di $. Secondo il CEO Max Krupyshev, la società ha finito per rimborsare i clienti con i propri fondi. Tra questi clienti probabilmente ci sono casinò online, che secondo un Blockchain Intelligence Group, sono utilizzatori abituali di CoinsPaid.

In modo dettagliatospiegazione dell'incidente pubblicato lunedì, CoinsPaid ha affermato che, a giudicare dal comportamento on-chain dei ladri, erano molto probabilmente il gruppo nordcoreano Lazarus o affiliati ad esso. Per sottrarre denaro a CoinsPaid, gli aggressori hanno utilizzato portafogli che includevano ONE individuato in un altro recente attacco attribuito a Lazarus, il Hackeraggio di Atomic Walleta giugno, Blockchain Intelligence Groupha scritto.

Gli aggressori avevano preso di mira CoinsPaid per mesi prima di riuscire finalmente a portare a termine il furto, ha affermato CoinsPaid. I tentativi di fishing e social engineering sono iniziati a marzo, inclusa una Request da parte di qualcuno che si spacciava per un collega ucraino di elaborazione Cripto , che chiedeva agli sviluppatori di CoinsPaid informazioni sull'infrastruttura tecnica dell'azienda, ha affermato il post del blog. Gli aggressori hanno anche cercato di corrompere lo staff di CoinsPaid e hanno effettuato attacchi DDOS (distributed denial-of-service) mirati ai server dell'azienda.

La pesca dei dipendenti creduloni

Poi, a luglio, diversi dipendenti hanno ricevuto offerte di lavoro redditizie da account LinkedIn che si spacciavano per reclutatori di altre aziende Cripto , tra cui l'exchange Cripto.com. "Ad esempio, alcuni membri del nostro team hanno ricevuto offerte di lavoro con compensi che andavano da 16.000 a 24.000 USD al mese", si legge nel post del blog.

Dopo aver effettuato un primo contatto, i falsi reclutatori hanno chiesto ai dipendenti di installare JumpCloud, una piattaforma per l'autenticazione degli utenti che, a quanto si dice, era anchehackeratoda Lazarus a luglio, o altri software, presumibilmente per eseguire un'attività di prova. Diversi dipendenti hanno abboccato all'amo e hanno installato software dannoso, dopodiché gli aggressori hanno ottenuto accesso all'infrastruttura di CoinsPaid.

Durante le ultime ore europee di un venerdì sera del 21 luglio, gli aggressori hanno avuto accesso al nodo blockchain di CoinsPaid e hanno richiesto un grande prelievo di USDT basati su Tron, Bitcoin e diversi token ERC20 in esecuzione sulla blockchain Ethereum , ha detto a CoinDesk Pavel Kashuba, direttore finanziario di CoinsPaid, in un'intervista. La fase attiva dell'attacco è durata circa quattro ore e 23 minuti, ha detto.

Mentre i ladri hanno avuto libero accesso ai server dell'azienda, non hanno compromesso le chiavi private per i portafogli di CoinsPaid, ha detto il CEO Max Krupyshev a CoinDesk: "Non appena abbiamo spento i nostri server, i trasferimenti si sono fermati". Ha aggiunto che, quando l'azienda ha scorporato nuovi portafogli con le stesse chiavi, questi T sono stati prosciugati, confermando che le chiavi erano al sicuro.

T è possibile bloccarlo

L'azienda ha comunque perso soldi. La maggior parte dei fondi rubati, sotto forma di USDT sulla blockchain TRON , sono stati scambiati con USDT su Avalanche tramite ponti cross-chain e poi inviati a un exchange decentralizzato SwftSwap, ha detto Krupyshev. Gli aggressori hanno anche utilizzato gli exchange decentralizzati Uniswap e SunSwap, così come gli exchange centralizzati Binance, Huobi, Kucoin, Bybit, Bitget e MEXC, secondo il post del blog post-mortem.

Il Bitcoin è stato riciclato tramite il mixer Sindbad, che, secondo la società di intelligence blockchain Elliptic, è il il mixer più popolare per gli hacker nordcoreani.

CoinsPaid ha affermato che, nonostante abbiano avvisato gli exchange centralizzati non appena hanno visto i fondi muoversi lì, etichettare gli indirizzi correlati a reati e adottare misure da parte degli exchange è un processo troppo lento per KEEP il passo con gli hacker, che hanno incassato nel giro di pochi minuti.

Kashuba ha espresso frustrazione per il fatto che le forze dell'ordine siano lente nel convincere gli exchange a congelare i conti criminali. "Bisogna bloccare i soldi, ma quei soldi sono già spariti", ha detto.

La conclusione è che gli exchange devono prestare attenzione all'igiene digitale e a una formazione adeguata per il personale, ha affermato Kashuba. E questo vale per tutti i tipi di reati informatici.