L'FBI ha ufficialmente collegato il devastante hack di DMM Bitcoin al gruppo di hacker TraderTraitor della Corea del Nord, che secondo quanto si dice ha collegamenti con il famigerato Lazarus Group. A maggio, il cyber attacco ha portato al furto di 4.502 Bitcoin, del valore di 308 milioni di dollari, causando gravi danni finanziari e la chiusura definitiva dell'exchange di criptovalute giapponese.
L'attacco è iniziato con tattiche sofisticate di ingegneria sociale mirate a Ginco, un'azienda giapponese di portafogli di criptovalute. Gli hacker si sono spacciati per reclutatori su LinkedIn, inviando link dannosi mascherati da test pre-assunzione ospitati su GitHub. Un dipendente di Ginco ha cliccato inconsapevolmente sul link, consentendo agli hacker di compromettere il proprio account GitHub. Questo accesso ha permesso agli aggressori di impersonare il dipendente nelle comunicazioni interne.
Entro maggio, il gruppo ha sfruttato questo accesso per manipolare una richiesta di transazione legittima da parte di un dipendente di DMM Bitcoin. I Bitcoin rubati sono stati rapidamente trasferiti in portafogli controllati dagli hacker. Nonostante gli sforzi di DMM Bitcoin per recuperare i fondi e risarcire gli utenti attraverso riacquisti di Bitcoin, le perdite finanziarie erano insormontabili. Di conseguenza, l'exchange ha annunciato la sua chiusura permanente e i piani per trasferire i conti dei clienti a SBI VC Trade entro marzo 2025.
Questa violazione rappresenta uno dei furti di criptovalute più significativi del Giappone, secondo solo all'hack di Coincheck nel 2018, dove sono stati rubati 530 milioni di dollari. L'incidente mette in luce la crescente minaccia rappresentata dai gruppi di criminali informatici nordcoreani nel settore delle criptovalute. Solo nel 2024, questi gruppi sono stati responsabili del furto di 1,34 miliardi di dollari in asset crypto, che rappresentano circa i due terzi di tutti i furti globali di criptovalute.
A luglio, i fondi rubati sono stati canalizzati attraverso Huione Guarantee, un'azienda che opera in Cambogia. I rapporti di Chainalysis suggeriscono che la società sia stata coinvolta in truffe di 'pig butchering' del valore di circa 49 miliardi di dollari. In risposta, la Cambogia ha avviato un'operazione di repressione a dicembre, bloccando l'accesso a 16 exchange di criptovalute, comprese piattaforme principali come Binance, Coinbase e OKX.
Taylor Monahan, esperto di sicurezza di MetaMask, ha sottolineato il rischio continuo: “Gli appassionati di crypto (si spera) già sanno che Lazarus è uno degli attori di minaccia più prevalenti che colpiscono questa industria. Hanno rovinato più persone, aziende e protocolli di chiunque altro. Ma è bene sapere esattamente come entrano. Perché un'altra verifica del contratto intelligente non ti salverà.”
Questo attacco serve come un forte promemoria della minaccia persistente ed evolutiva rappresentata dai criminali informatici nordcoreani. La loro capacità di sfruttare l'errore umano attraverso l'ingegneria sociale e tecniche di infiltrazione avanzate rimane una seria sfida per l'industria globale delle criptovalute.
