Уроки атаки на $37 млн как была взломана украинская платежная система

Уроки атаки на $37 млн взлом украинской платежной системы

Эксплуатация протоколов DeFi давно стала самым популярным видом преступления в мире криптовалют, в то время как традиционные взломы бирж стали гораздо реже. Но киберпреступники не потеряли все интерес к старым-добрым цифровым грабежам.

Недавний взлом криптоплатежного процессора CoinsPaid показывает, что самые трудолюбивые киберпреступные группы в мире все еще готовы тратить огромные ресурсы на взлом централизованных сущностей.

CoinsPaid, украинская компания, зарегистрированная в Эстонии, сообщила о взломе 22 июля с оценочными потерями криптовалюты в размере 37,3 миллиона долларов. По словам генерального директора Макса Крупышева, компания в итоге возместила убытки своих клиентов из собственных средств. Среди этих клиентов, скорее всего, были онлайн-казино, которые, согласно Blockchain Intelligence Group, являются широко распространенными пользователями CoinsPaid.

В подробном объяснении произошедшего, опубликованном в понедельник, CoinsPaid заявила, что, судя по поведению злоумышленников в сети, они, скорее всего, являются северокорейской группой Лазарус или связаны с ней. Для вывода денег из CoinsPaid злоумышленники использовали кошельки, включая тот, который был замечен в другой недавней атаке, приписываемой Лазарусу – взлом Atomic Wallet в июне, сообщает Blockchain Intelligence Group.

Злоумышленники целились в CoinsPaid в течение нескольких месяцев, прежде чем совершить кражу, сообщила CoinsPaid. Рыболовные и социальные инженерные атаки начались в марте, включая запрос от кого-то, выдающего себя за соучредителя украинского стартапа по обработке криптовалюты, который спрашивал разработчиков CoinsPaid о технической инфраструктуре компании, говорится в блоге. Злоумышленники также пытались подкупить сотрудников CoinsPaid и использовали распределенные атаки отказа в обслуживании (DDoS) на серверы компании.

Наезд на доверчивых сотрудников

Затем, в июле, несколько сотрудников получили выгодные предложения работы от учетных записей LinkedIn, выдающих себя за рекрутеров других криптовалютных компаний, включая биржу Crypto.com. “Например, некоторые из наших сотрудников получили предложения работы с вознаграждением от 16 000 до 24 000 долларов США в месяц”, – говорится в блоге.

После первого контакта фальшивые рекрутеры попросили сотрудников установить JumpCloud, платформу для аутентификации пользователей, которая, как сообщается, также была взломана Лазарусом в июле, или другое программное обеспечение, предположительно для выполнения тестового задания. Несколько сотрудников укусили на удочку и установили вредоносное ПО, после чего злоумышленники получили доступ к инфраструктуре CoinsPaid.

В конце европейского рабочего дня в пятницу 21 июля злоумышленники получили доступ к блокчейн-узлу CoinsPaid и запросили крупный вывод USDT на основе Tron, биткойна и нескольких токенов ERC20, работающих на блокчейне Ethereum, – рассказал CoinDesk в интервью финансовый директор CoinsPaid Павел Кашуба. Активная фаза атаки заняла около четырех часов 23 минуты, – сказал он.

Хотя злоумышленники получили свободный доступ к серверам компании, они не скомпрометировали приватные ключи для кошельков CoinsPaid, – сказал CoinDesk генеральный директор Макс Крупышев: “Как только мы отключили наши серверы, переводы прекратились”. Он добавил, что при создании новых кошельков с теми же ключами они не были опустошены, что подтверждает безопасность ключей.

Нельзя заблокировать это

Тем не менее, компания все равно потеряла деньги. Большая часть украденных средств, в форме USDT на блокчейне Tron, была обменена на USDT на Avalanche через кросс-чейн мосты, а затем отправлена на децентрализованную биржу SwftSwap, – сказал Крупышев. Злоумышленники также использовали децентрализованные биржи Uniswap и SunSwap, а также централизованные биржи Binance, Huobi, Kucoin, Bybit, Bitget и MEXC, – говорится в послесловии блога.

Биткойн был переведен через миксер Sindbad, который, по словам блокчейн-интеллектуальной фирмы Elliptic, является самым популярным миксером для северокорейских хакеров.

CoinsPaid заявила, что, хотя они уведомили централизованные биржи сразу же после того, как увидели перемещение средств туда, маркировка адресов, связанных с преступностью, и принятие мер со стороны бирж – это процесс, слишком медленный, чтобы быть на шаг впереди хакеров, которые выводили деньги буквально за несколько минут.

Кашуба выразил разочарование тем, что правоохранительные органы медленно убеждают биржи замораживать учетные записи преступников. “Вы должны заблокировать деньги, но эти деньги уже ушли”, – сказал он.

Итоговый вывод состоит в том, что биржи должны обращать внимание на цифровую гигиену и предоставлять должное обучение персоналу, – сказал Кашуба. И это относится ко всем видам киберпреступности.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

политика

Закон США защищает институты и подвергает розничных инвесторов риску - представитель Торрес

В то время как некоторые называют решение по Ripple победой, другие требуют большего прогресса в эффективном регулиро...

рынок

Binance добавляет новый стейблкоин без комиссии за торговлю, но вскоре прекращает из-за технических проблем.

Стейблкоин First Digital Group, FDUSD, полностью обеспеченный наличными в соотношении 11, дебютирует на Binance. Он п...

DeFi

3 причины, почему фундаментальные данные Maker (MKR) указывают на дальнейший рост цены

Цена Maker выросла на более чем 53% за последний месяц, и 3 ключевых метрики указывают на то, что ралли может продолж...

новости

Крипто Бизнес Worldcoin расширяется, Saudi Aramco рассматривает цифровые активы и многое другое.

Последний выпуск Crypto Biz рассматривает рейтинг стейблкоинов от S&P Global, интеграцию магазинов Worldcoin и ме...

блокчейн

Ардуино из Tether говорит, что теперь они являются одним из крупнейших покупателей казначейских облигаций США и удерживают $72,5 млрд.

Комментарии главного технического директора Tether Паоло Ардойно были ответом на отчет, подчеркивающий, что Китай вых...

блокчейн

Признанный властью в тени Мьянмара поддерживает запуск криптовалютного банка

Запуск первого крипто-необанка в Мьянме, получившего название Spring Development Bank, может обеспечить население Мья...