Уроки атаки на 37 миллионов долларов: как был взломан украинский платежный процессор

Использование протоколов DeFi уже давно сталоСамый популярный вид криптопреступлений, в то время как традиционные взломы бирж стали происходить гораздо реже. Но киберпреступники T утратили интереса к старому доброму цифровому ограблению.

Недавний взлом Криптo платежного процессора CoinsPaid показал, что самые предприимчивые киберпреступные группировки в мире по-прежнему готовы тратить огромные ресурсы на взлом централизованных структур.

CoinsPaid, украинская фирма, зарегистрированная в Эстонии,сообщили взломан 22 июля, с предполагаемыми потерями Криптo в размере $37,3 млн. По словам генерального директора Макса Крупышева, компания в конечном итоге вернула деньги клиентам из собственных средств. Вероятно, в число этих клиентов входят онлайн-казино, которые по данным Blockchain Intelligence Group, являются широко распространенными пользователями CoinsPaid.

В подробномобъяснение В опубликованном в понедельник отчете об инциденте CoinsPaid говорится, что, судя по поведению воров в сети, они, скорее всего, были северокорейской группой Lazarus Group или связаны с ней. Чтобы выкачать деньги из CoinsPaid, злоумышленники использовали кошельки, в том числе ONE был замечен в другой недавней атаке, приписываемой Lazarus, — Взлом атомного кошелькав июне, Blockchain Intelligence Groupнаписал.

Атакующие нацелились на CoinsPaid в течение нескольких месяцев, прежде чем, наконец, провернуть кражу, заявил CoinsPaid. Попытки фишинга и социальной инженерии начались в марте, включая Request от кого-то, выдававшего себя за украинский стартап по обработке Криптo , который спрашивал разработчиков CoinsPaid о технической инфраструктуре фирмы, говорится в сообщении в блоге. Атакующие также пытались подкупить персонал CoinsPaid и участвовали в распределенных атаках типа «отказ в обслуживании» (DDOS), направленных на серверы компании.

Ловля доверчивых сотрудников

Затем, в июле, несколько сотрудников получили выгодные предложения о работе от аккаунтов LinkedIn, выдавая себя за рекрутеров из других Криптo , включая биржу Криптo.com. «Например, некоторые из членов нашей команды получили предложения о работе с компенсацией в размере от 16 000 до 24 000 долларов США в месяц», — говорится в сообщении в блоге.

После установления первоначального контакта фальшивые рекрутеры попросили сотрудников установить JumpCloud, платформу для аутентификации пользователей, которая, как сообщается, также былавзломанныйLazarus в июле или другое программное обеспечение, предположительно для выполнения тестового задания. Несколько сотрудников клюнули на приманку и установили вредоносное ПО, после чего злоумышленники получили доступ к инфраструктуре CoinsPaid.

Павел Кашуба, финансовый директор CoinsPaid, рассказал CoinDesk в интервью, что в поздние европейские часы в пятницу вечером 21 июля злоумышленники получили доступ к узлу блокчейна CoinDesk и запросили крупный вывод USDT на основе Tron, Bitcoin и нескольких токенов ERC20, работающих на блокчейне Ethereum . Активная фаза атаки заняла около четырех часов 23 минут, сказал он.

Хотя воры получили свободный доступ к серверам компании, они не скомпрометировали закрытые ключи от кошельков CoinsPaid, генеральный директор Макс Крупышев сообщил CoinDesk: «Как только мы отключили наши серверы, переводы прекратились». Он добавил, что когда фирма создала новые кошельки с теми же ключами, они T были опустошены, что подтверждает безопасность ключей.

T могу это заблокировать

Фирма в любом случае потеряла деньги. Большая часть украденных средств в форме USDT на блокчейне TRON была обменена на USDT на Avalanche через кросс-чейн-мосты, а затем отправлена ​​на децентрализованную биржу SwftSwap, сказал Крупышев. Злоумышленники также использовали децентрализованные биржи Uniswap и SunSwap, а также централизованные биржи Binance, Huobi, Kucoin, Bybit, Bitget и MEXC, согласно записи в блоге о вскрытии.

Bitcoin были отмыты через миксер Sindbad, который, по данным компании Elliptic, занимающейся разведкой блокчейнов, является самый популярный миксер для северокорейских хакеров.

В CoinsPaid заявили, что, хотя они и уведомили централизованные биржи сразу же, как только увидели перемещение средств, маркировка адресов, связанных с преступлениями, и принятие мер биржами — слишком медленный процесс, чтобы KEEP за хакерами, которые обналичивали средства в течение нескольких минут.

Кашуба выразил разочарование тем, что правоохранительные органы медленно идут на убедительные обмены с целью заморозить криминальные счета. «Вам нужно заблокировать деньги, но эти деньги уже ушли», — сказал он.

Суть в том, что биржам нужно уделять внимание цифровой гигиене и адекватному обучению персонала, сказал Кашуба. И это касается всех видов киберпреступности.