Северокорейские хакеры теперь маскируются под сотрудников крипто-стартапов и за последние несколько месяцев совершили несколько ограблений.

За последние шесть месяцев количество эксплойтов усилилось, затрагивая как криптопроекты, так и кошельки пользователей. Сетевой следователь ZachXBT отметил, что некоторые хакеры из Северной Кореи довольно неосторожно относились к своей анонимности. Они даже сопоставляли действия своих кошельков с понятными человеку, узнаваемыми именами ENS.

Пример 2: Четверо других ИТ-работников КНДР, которые были в команде Munchables и участвовали во взломе на сумму 62,5 миллиона долларов https://t.co/NqoHZwiSkT

– ZachXBT (@zachxbt) 15 июля 2024 г.

Один значительный инцидент произошел с игровой командой Munchables. В марте 2024 года игра подверглась взлому, в результате которого были потеряны от 62 до 64 миллионов долларов в ETH. Позже хакер вернул средства. Этот инцидент подчеркнул растущую угрозу инсайдерских атак в криптоиндустрии.

Громкие инциденты и новые векторы атак

Помимо внутренних угроз, со временем появились и другие угрозы для систем. В последнее время все больше и больше срочных кредитов под протоколы. Minterest подверглась атаке с помощью срочного кредита на сумму 1,4 миллиона долларов, а Dough Finance потеряла 1,9 миллиона долларов. Украденные средства Minterest были переведены в миксер Tornado Cash, поэтому вернуть их практически невозможно.

Кроме того, атаке подверглись несколько крупных сайтов протоколов Web3. Злоумышленники изменили URL-адреса на те, которые содержат средства для слива кошелька. В число затронутых сайтов входит Curve Finance, однако проблема была быстро решена. Эти инциденты подчеркивают, что нужно быть осторожным с любыми ссылками Web3, с которыми можно столкнуться.

Схемы отмывания указывают на причастность Lazarus, печально известной хакерской группы. Некоторые украденные средства смешиваются и отправляются на небольшие биржи без KYC. Недавний взлом позволил отследить средства на рынке Huione Guarantee, хабе, который часто используют хакеры Lazarus.

Атаки на управление также стали серьезной проблемой для проектов DeFi. Северокорейские хакеры были связаны с многочисленными атаками на управление. Эти атаки особенно разрушительны, поскольку они могут перераспределить ликвидность и контроль. Модель DAO, которая связывает голосование с распределением средств, использовалась неоднократно.

TrueFi DAO в настоящее время работает над обеспечением справедливого управления, одновременно выражая обеспокоенность по поводу потенциально злонамеренного управления. Темные ДАО, которые могут позволить себе покупать право голоса, представляют собой серьезную угрозу. Они получают право голоса посредством регулярных действий Web3, таких как ликвидные ставки.

В некоторых случаях DAO имеют голоса для распределения значительных казначейских активов. Самозванцы, сделавшие ставки, могут голосовать и получать контроль над значительной частью этих казначейских активов. Большинство DAO полагаются на смарт-контракты, автоматизируя процесс и делая его уязвимым для взлома.

ZachXBT отметил, что некоторых северокорейских хакеров легко идентифицировать в атаках DAO. Им часто не удавалось использовать различные технологии сокрытия для подкупа голосов. Отсутствие осторожности привело к разоблачению их деятельности.

Связь с гарантийным рынком Уйоне

Связи с рынком гарантий Huione вызвали подозрения в отношении кошельков и проектов. Этот рынок может стать причиной внесения в черный список, как это недавно произошло с кошельком Tether (USDT) в блокчейне TRON. Huione Guarantee — это P2P-торговая платформа кредитных гарантий и услуг условного депонирования. Якобы являясь невинной платформой для обмена, она позволяет совершать отдельные мошенничества и отмывать деньги, полученные от украденных криптовалют.

Продукты, продаваемые Huione Guarantee, аналогичны злоупотреблениям и взломам, обнаруженным в Telegram. Они предоставляют программное обеспечение и инструменты для целевого фишинга и используют USDT для перевода крупных сумм. Эти транзакции связаны с небольшими интернет-магазинами, что затрудняет установление связей.

Исследование ZachXBT выявило новый список адресов, связанных с использованием гарантии Huione. Этот вывод еще раз подчеркивает необходимость бдительности в криптосообществе. Участие северокорейских хакеров представляет постоянную угрозу целостности и безопасности криптопроектов.

Пост «Северокорейские хакеры выдают себя за сотрудников для проникновения в крипто-стартапы» впервые появился на Coinfomania.