Уроки атаки на $37 млн: як зламали український платіжний процесор

Експлуатувати протоколи DeFi давно стало найпопулярніший вид крипто злочину, тоді як традиційні біржові хаки стали набагато рідше. Але кіберзлочинці T втратили інтересу до старого доброго цифрового пограбування.

Нещодавній злом Крипто платіжного процесора CoinsPaid показує, що найбільш працьовиті групи кіберзлочинців у світі все ще готові витрачати значні ресурси на проникнення в централізовані організації.

CoinsPaid, українська фірма, зареєстрована в Естонії, повідомили 22 липня було зламано з орієнтовними збитками Крипто в 37,3 мільйона доларів. За словами гендиректора Макса Крупишева, компанія повернула клієнтам кошти за рахунок власних коштів. Ці клієнти, ймовірно, включають онлайн-казино, які згідно з Blockchain Intelligence Group, є поширеними користувачами CoinsPaid.

У детальному пояснення Про інцидент, опублікований у понеділок, CoinsPaid заявив, що, судячи з поведінки злодіїв у ланцюжку, вони, швидше за все, були північнокорейською Lazarus Group або пов’язані з нею. Щоб викачати гроші з CoinsPaid, зловмисники використовували гаманці, які включали ONE , помічений під час іншої недавньої атаки, яку приписують Lazarus – Злом Atomic Wallet у червні Blockchain Intelligence Group написав.

За словами CoinsPaid, зловмисники націлювалися на CoinsPaid протягом кількох місяців, перш ніж нарешті здійснити крадіжку. Спроби рибалки та соціальної інженерії почалися в березні, включаючи Request від когось, який видавав себе за український стартап з обробки Крипто , який запитував розробників CoinsPaid про технічну інфраструктуру фірми, йдеться в дописі в блозі. Зловмисники також намагалися підкупити персонал CoinsPaid і брали участь у розподілених атаках на відмову в обслуговуванні (DDOS), спрямованих на сервери компанії.

Рибалка на довірливих співробітників

Потім, у липні, кілька співробітників отримали вигідні пропозиції роботи від облікових записів LinkedIn, видаючи себе за рекрутерів від інших Крипто , включаючи біржу Крипто.com. «Наприклад, деякі члени нашої команди отримали пропозиції про роботу з винагородою від 16 000 до 24 000 доларів США на місяць», — йдеться в повідомленні в блозі.

Після першого контакту фальшиві вербувальники попросили співробітників встановити JumpCloud, платформу для автентифікації користувачів, яка, як повідомляється, також була зламаний Lazarus у липні або інше програмне забезпечення, імовірно, для виконання тестового завдання. Кілька співробітників натрапили на вудку і встановили шкідливе програмне забезпечення, після чого зловмисники отримали доступ до інфраструктури CoinsPaid.

Під час пізньої години в Європі у п’ятницю ввечері 21 липня зловмисники отримали доступ до вузла блокчейну CoinsPaid і запросили виведення великої кількості USDT на основі Tron, Bitcoin і кількох токенів ERC20, що працюють на блокчейні Ethereum , розповів в інтерв’ю CoinDesk Павло Кашуба, фінансовий директор CoinsPaid. За його словами, активна фаза атаки тривала близько чотирьох годин 23 хвилини.

Хоча злодії отримали вільний доступ до серверів компанії, вони не зламали приватні ключі для гаманців CoinsPaid, генеральний директор Макс Крупишев сказав CoinDesk: «Щойно ми вимкнули наші сервери, перекази припинилися». Він додав, що коли фірма створила нові гаманці з тими самими ключами, вони T були злиті, підтверджуючи, що ключі безпечні.

T заблокувати це

Фірма все одно втратила гроші. Більшість вкрадених коштів у формі USDT на блокчейні TRON обмінювалися на USDT на Avalanche через міжланцюгові мости, а потім відправлялися на децентралізовану біржу SwftSwap, сказав Крупишев. Зловмисники також використовували децентралізовані біржі Uniswap і SunSwap, а також централізовані біржі Binance, Huobi, Kucoin, Bybit, Bitget і MEXC, згідно з посмертним дописом у блозі.

Bitcoin відмивали через змішувач Sindbad, який, за даними блокчейн-розвідувальної фірми Elliptic, є найпопулярніший мікшер серед північнокорейських хакерів.

За словами CoinsPaid, хоча вони сповістили централізовані біржі, як тільки побачили, що кошти переміщуються туди, позначення адрес, пов’язаних зі злочинністю, і вжиття заходів біржами є надто повільним процесом, щоб KEEP за хакерами, які виводили гроші за лічені хвилини.

Кашуба висловив розчарування тим, що правоохоронні органи повільно переконують обміни заморозити рахунки злочинців. «Вам потрібно заблокувати гроші, але ці гроші вже пішли», – сказав він.

Суть полягає в тому, що біржі повинні приділяти увагу цифровій гігієні та належному навчанню персоналу, сказав Кашуба. І це стосується всіх видів кіберзлочинності.