Kako je ukrajinski procesor plaćanja hakiran

Iskorištavanje DeFi protokola odavno je postalo najpopularnija vrsta kripto kriminala, dok su hakiranja tradicionalnih razmjena postala daleko rjeđa. No kiberkriminalci nisu potpuno izgubili zanimanje za dobru staru digitalnu pljačku.

Nedavno hakiranje procesora kripto plaćanja CoinsPaid pokazuje da su najmarljivije kibernetičke kriminalne skupine na svijetu još uvijek spremne potrošiti ogromne resurse na provaljivanje u centralizirane entitete.

CoinsPaid, ukrajinska tvrtka registrirana u Estoniji, izvijestila je da je hakirana 22. srpnja, s procijenjenim kripto gubicima od 37,3 milijuna dolara. Prema riječima izvršnog direktora Maxa Krupysheva, tvrtka je na kraju vratila novac klijentima iz vlastitih sredstava. Ti kupci vjerojatno uključuju online kockarnice, koji su prema Blockchain Intelligence Group, široko rasprostranjeni korisnici CoinsPaida.

U detaljnom objašnjenju incidenta objavljenom u ponedjeljak, CoinsPaid je rekao da je, sudeći po ponašanju lopova na lancu, vrlo vjerojatno riječ o sjevernokorejskoj Lazarus grupi ili s njom povezani. Kako bi izvukli novac iz CoinsPaida, napadači su koristili novčanike koji su uključivali onaj uočen u drugom nedavnom napadu koji se pripisuje Lazarusu – hakiranje Atomic Wallet u lipnju, napisala je Blockchain Intelligence Group.

Napadači su bili na meti CoinsPaida mjesecima prije nego što su konačno izveli krađu, rekao je CoinsPaid. Pokušaji ribolova i društvenog inženjeringa započeli su u ožujku, uključujući zahtjev nekoga tko se predstavljao kao kolega ukrajinski startup za obradu kripto, koji je pitao CoinsPaid programere o tehničkoj infrastrukturi tvrtke, stoji u postu na blogu. Napadači su također pokušali podmititi osoblje CoinsPaida i uključili su se u distribuirane napade uskraćivanja usluge (DDOS) usmjerene na poslužitelje tvrtke.

Zatim je u srpnju nekoliko zaposlenika dobilo unosne ponude za posao od LinkedIn računa predstavljajući se kao regruteri iz drugih kripto kompanija, uključujući mjenjačnicu Crypto.com. “Na primjer, neki od članova našeg tima dobili su ponude za posao s naknadom u rasponu od 16.000 do 24.000 USD mjesečno”, stoji u objavi na blogu.

Nakon prvog kontakta, lažni regruteri su tražili od zaposlenika da instaliraju JumpCloud, platformu za autentifikaciju korisnika koju je Lazarus navodno također hakirao u srpnju, ili neki drugi softver, vjerojatno za obavljanje testnog zadatka. Nekoliko zaposlenika zagrizlo je mamac i instaliralo maliciozni softver, nakon čega su napadači dobili pristup infrastrukturi CoinsPaida.

Tijekom kasnih europskih sati u petak navečer 21. srpnja, napadači su dobili pristup CoinsPaidovom blockchain čvoru i zatražili veliko povlačenje USDT-a temeljenog na Tronu, bitcoina i nekoliko ERC20 tokena koji rade na Ethereum blockchainu, Pavel Kashuba, glavni financijski direktor CoinsPaida , rekao je CoinDesk u intervjuu. Aktivna faza napada trajala je oko četiri sata i 23 minute, rekao je.

Iako su lopovi dobili besplatan pristup poslužiteljima tvrtke, nisu kompromitirali privatne ključeve novčanika CoinsPaida, rekao je izvršni direktor Max Krupyshev za CoinDesk: “Čim smo isključili naše poslužitelje, prijenosi su prestali.” Dodao je da, kada je tvrtka izdvojila nove novčanike s istim ključevima, oni nisu bili ispražnjeni, što potvrđuje da su ključevi sigurni.

Tvrtka je ionako izgubila novac. Većina ukradenih sredstava, u obliku USDT-a na Tron blockchainu, zamijenjena je za USDT na Avalancheu preko međulančanih mostova i zatim poslana u decentraliziranu razmjenu SwftSwap, rekao je Krupyshev. Napadači su također koristili decentralizirane mjenjačnice Uniswap i SunSwap, kao i centralizirane mjenjačnice Binance, Huobi, Kucoin, Bybit, Bitget i MEXC, navodi se u objavi na post-mortem blogu.

CoinsPaid je rekao, iako su obavijestili centralizirane mjenjačnice čim su vidjeli da se sredstva tamo kreću, označavanje adresa povezanih s kriminalom i poduzimanje radnji od strane mjenjačnica proces je koji je prespor da bi držao korak s hakerima, koji su isplaćivali novac za nekoliko minuta.

Kashuba je izrazio frustraciju što agencije za provođenje zakona sporo uvjeravaju razmjene da zamrznu kriminalne račune. “Morate blokirati novac, ali taj novac je već nestao”, rekao je.

Suština je da razmjene moraju obratiti pozornost na digitalnu higijenu i odgovarajuću obuku osoblja, rekao je Kashuba. I to vrijedi za sve vrste kibernetičkog kriminala.