Уроки атаки на $37 млн как была взломана украинская платежная система
Уроки атаки на $37 млн взлом украинской платежной системы
Эксплуатация протоколов DeFi давно стала самым популярным видом преступления в мире криптовалют, в то время как традиционные взломы бирж стали гораздо реже. Но киберпреступники не потеряли все интерес к старым-добрым цифровым грабежам.
Недавний взлом криптоплатежного процессора CoinsPaid показывает, что самые трудолюбивые киберпреступные группы в мире все еще готовы тратить огромные ресурсы на взлом централизованных сущностей.
CoinsPaid, украинская компания, зарегистрированная в Эстонии, сообщила о взломе 22 июля с оценочными потерями криптовалюты в размере 37,3 миллиона долларов. По словам генерального директора Макса Крупышева, компания в итоге возместила убытки своих клиентов из собственных средств. Среди этих клиентов, скорее всего, были онлайн-казино, которые, согласно Blockchain Intelligence Group, являются широко распространенными пользователями CoinsPaid.
В подробном объяснении произошедшего, опубликованном в понедельник, CoinsPaid заявила, что, судя по поведению злоумышленников в сети, они, скорее всего, являются северокорейской группой Лазарус или связаны с ней. Для вывода денег из CoinsPaid злоумышленники использовали кошельки, включая тот, который был замечен в другой недавней атаке, приписываемой Лазарусу – взлом Atomic Wallet в июне, сообщает Blockchain Intelligence Group.
- Регулятор данных Баварии не завершил оценку Worldcoin, когда проект был запущен
- Проверка личности в крипто преодоление противоречия между анонимностью блокчейна и соответствием KYC
- Бывший руководитель партнерств FTX US, Сина Надер, занимает должность руководителя стратегии в Mysten Labs.
Злоумышленники целились в CoinsPaid в течение нескольких месяцев, прежде чем совершить кражу, сообщила CoinsPaid. Рыболовные и социальные инженерные атаки начались в марте, включая запрос от кого-то, выдающего себя за соучредителя украинского стартапа по обработке криптовалюты, который спрашивал разработчиков CoinsPaid о технической инфраструктуре компании, говорится в блоге. Злоумышленники также пытались подкупить сотрудников CoinsPaid и использовали распределенные атаки отказа в обслуживании (DDoS) на серверы компании.
Наезд на доверчивых сотрудников
Затем, в июле, несколько сотрудников получили выгодные предложения работы от учетных записей LinkedIn, выдающих себя за рекрутеров других криптовалютных компаний, включая биржу Crypto.com. “Например, некоторые из наших сотрудников получили предложения работы с вознаграждением от 16 000 до 24 000 долларов США в месяц”, – говорится в блоге.
После первого контакта фальшивые рекрутеры попросили сотрудников установить JumpCloud, платформу для аутентификации пользователей, которая, как сообщается, также была взломана Лазарусом в июле, или другое программное обеспечение, предположительно для выполнения тестового задания. Несколько сотрудников укусили на удочку и установили вредоносное ПО, после чего злоумышленники получили доступ к инфраструктуре CoinsPaid.
В конце европейского рабочего дня в пятницу 21 июля злоумышленники получили доступ к блокчейн-узлу CoinsPaid и запросили крупный вывод USDT на основе Tron, биткойна и нескольких токенов ERC20, работающих на блокчейне Ethereum, – рассказал CoinDesk в интервью финансовый директор CoinsPaid Павел Кашуба. Активная фаза атаки заняла около четырех часов 23 минуты, – сказал он.
Хотя злоумышленники получили свободный доступ к серверам компании, они не скомпрометировали приватные ключи для кошельков CoinsPaid, – сказал CoinDesk генеральный директор Макс Крупышев: “Как только мы отключили наши серверы, переводы прекратились”. Он добавил, что при создании новых кошельков с теми же ключами они не были опустошены, что подтверждает безопасность ключей.
Нельзя заблокировать это
Тем не менее, компания все равно потеряла деньги. Большая часть украденных средств, в форме USDT на блокчейне Tron, была обменена на USDT на Avalanche через кросс-чейн мосты, а затем отправлена на децентрализованную биржу SwftSwap, – сказал Крупышев. Злоумышленники также использовали децентрализованные биржи Uniswap и SunSwap, а также централизованные биржи Binance, Huobi, Kucoin, Bybit, Bitget и MEXC, – говорится в послесловии блога.
Биткойн был переведен через миксер Sindbad, который, по словам блокчейн-интеллектуальной фирмы Elliptic, является самым популярным миксером для северокорейских хакеров.
CoinsPaid заявила, что, хотя они уведомили централизованные биржи сразу же после того, как увидели перемещение средств туда, маркировка адресов, связанных с преступностью, и принятие мер со стороны бирж – это процесс, слишком медленный, чтобы быть на шаг впереди хакеров, которые выводили деньги буквально за несколько минут.
Кашуба выразил разочарование тем, что правоохранительные органы медленно убеждают биржи замораживать учетные записи преступников. “Вы должны заблокировать деньги, но эти деньги уже ушли”, – сказал он.
Итоговый вывод состоит в том, что биржи должны обращать внимание на цифровую гигиену и предоставлять должное обучение персоналу, – сказал Кашуба. И это относится ко всем видам киберпреступности.
We will continue to update BiLee; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
- Токены сообщества Reddit взлетают после появления на бирже Kraken
- Крипто-ориентированные публичные компании превосходят прогнозы прибыли за II квартал, увеличенные взлетом цен на криптовалюты.
- Brevan Howard поддерживает стартап Puffer в области криптоинфраструктуры в раунде финансирования на $5.5 млн
- 10 преград для межцепочечной совместимости (и как их можно преодолеть)
- Coinbase начинает обратный выкуп долга на сумму 150 миллионов долларов со скидкой 36%.
- У Paxos есть другие возможности ‘брендированных’ стейблкоинов, помимо PayPal USD
- CoinGecko запускает индекс для криптотокенов, предполагаемых в качестве ценных бумаг SEC, оцениваемых в 91 миллиард долларов