Lições de um ataque de US$ 37 milhões: como um processador de pagamento ucraniano foi hackeado

A exploração de protocolos DeFi há muito se tornouo tipo de crime mais popular da criptografia, enquanto os hacks tradicionais de exchanges se tornaram muito menos frequentes. Mas os cibercriminosos T perderam todo o interesse no bom e velho roubo digital.

O recente hack do processador de pagamentos Cripto CoinsPaid mostra que os grupos cibercriminosos mais industriosos do mundo ainda estão dispostos a gastar recursos formidáveis ​​para invadir entidades centralizadas.

CoinsPaid, uma empresa ucraniana registrada na Estônia,relatado sendo hackeado em 22 de julho, com perdas estimadas em Cripto de US$ 37,3 milhões. De acordo com o CEO Max Krupyshev, a empresa acabou reembolsando clientes com seus próprios fundos. Esses clientes provavelmente incluem cassinos online, que de acordo com um Blockchain Intelligence Group, são usuários generalizados do CoinsPaid.

Em um detalhadoexplicação do incidente publicado na segunda-feira, a CoinsPaid disse que, a julgar pelo comportamento dos ladrões na cadeia, eles provavelmente eram o North Korean Lazarus Group ou afiliados a ele. Para desviar dinheiro da CoinsPaid, os invasores usaram carteiras que incluíam a que foi vista em outro ataque recente atribuído ao Lazarus – a Hack de carteira atômicaem junho, Blockchain Intelligence Groupescreveu.

Os invasores estavam mirando a CoinsPaid por meses antes de finalmente realizarem o roubo, disse a CoinsPaid. Tentativas de pesca e engenharia social começaram em março, incluindo uma Request de alguém se passando por uma colega startup ucraniana de processamento de Cripto , que estava perguntando aos desenvolvedores da CoinsPaid sobre a infraestrutura técnica da empresa, disse a postagem do blog. Os invasores também tentaram subornar a equipe da CoinsPaid e se envolveram em ataques de negação de serviço distribuído (DDOS) direcionados aos servidores da empresa.

Pescando os funcionários ingênuos

Então, em julho, vários funcionários receberam ofertas de emprego lucrativas de contas do LinkedIn se passando por recrutadores de outras empresas de Cripto , incluindo a exchange Cripto. “Por exemplo, alguns dos membros da nossa equipe receberam ofertas de emprego com remuneração variando de 16.000 a 24.000 dólares por mês”, dizia o post do blog.

Após fazerem um contato inicial, os falsos recrutadores pediram aos funcionários que instalassem o JumpCloud, uma plataforma de autenticação de usuários que também teria sidohackeadopor Lazarus em julho, ou outro software, presumivelmente para executar uma tarefa de teste. Vários funcionários morderam a isca e instalaram software malicioso, após o que os invasores obtiveram acesso à infraestrutura da CoinsPaid.

Durante o horário europeu tardio de uma sexta-feira à noite em 21 de julho, os invasores obtiveram acesso ao nó de blockchain da CoinsPaid e solicitaram uma grande retirada de USDT baseado em Tron, Bitcoin e vários tokens ERC20 em execução no blockchain Ethereum , disse Pavel Kashuba, diretor financeiro da CoinsPaid, à CoinDesk em uma entrevista. A fase ativa do ataque levou cerca de quatro horas e 23 minutos, disse ele.

Embora os ladrões tenham obtido livre acesso aos servidores da empresa, eles não comprometeram as chaves privadas das carteiras da CoinsPaid, disse o CEO Max Krupyshev ao CoinDesk: "Assim que desligamos nossos servidores, as transferências pararam". Ele acrescentou que, quando a empresa lançou novas carteiras com as mesmas chaves, elas T foram esvaziadas, confirmando que as chaves estavam seguras.

T é possível bloquear isso

A empresa perdeu dinheiro de qualquer forma. A maioria dos fundos roubados, em uma forma de USDT no blockchain TRON , foram trocados por USDT no Avalanche por meio de pontes entre cadeias e então enviados para uma exchange descentralizada SwftSwap, disse Krupyshev. Os invasores também usaram exchanges descentralizadas Uniswap e SunSwap, bem como exchanges centralizadas Binance, Huobi, Kucoin, Bybit, Bitget e MEXC, de acordo com a postagem do blog post-mortem.

O Bitcoin foi lavado através do misturador Sindbad, que, de acordo com a empresa de inteligência de blockchain Elliptic, é o mixer mais popular para hackers norte-coreanos.

A CoinsPaid disse que, embora eles tenham notificado as exchanges centralizadas assim que viram fundos sendo movimentados para lá, rotular endereços relacionados a crimes e tomar medidas pelas exchanges é um processo muito lento para KEEP os hackers, que estavam sacando em questão de minutos.

Kashuba expressou frustração com o fato de que as agências de aplicação da lei são lentas em convencer as exchanges a congelar contas criminosas. “Você precisa bloquear o dinheiro, mas esse dinheiro já se foi”, disse ele.

O ponto principal é que as exchanges precisam prestar atenção à higiene digital e ao treinamento adequado para a equipe, disse Kashuba. E isso vale para todos os tipos de crimes cibernéticos.