Північнокорейські хакери зараз маскуються під співробітників криптостартапів і за останні кілька місяців здійснили кілька пограбувань.

За останні шість місяців зросла кількість експлойтів, які впливають як на криптопроекти, так і на гаманці користувачів. Розслідувач мережі ZachXBT зазначив, що деякі хакери з Північної Кореї були досить необачні щодо своєї анонімності. Вони навіть пов’язали дії свого гаманця зі зрозумілими для людини, визнаними іменами ENS.

Приклад 2: четверо інших ІТ-працівників із КНДР, які входили до команди Munchables і брали участь у зламі 62,5 мільйонів доларів США https://t.co/NqoHZwiSkT

— ZachXBT (@zachxbt) 15 липня 2024 р

Один важливий інцидент пов’язаний з ігровою командою Munchables. У березні 2024 року гру було зламано, що призвело до втрати від 62 до 64 мільйонів доларів ETH. Згодом хакер повернув кошти. Цей інцидент підкреслив зростаючу загрозу інсайдерських атак у криптоіндустрії.

Гучні інциденти та нові вектори атак

Окрім внутрішніх загроз, з часом з’явилися інші загрози системам. Останнім часом з'являється все більше флеш-кредитів під протоколи. Minterest зіткнувся з експлойтом швидкої позики на 1,4 мільйона доларів, а Dough Finance втратив 1,9 мільйона доларів. Викрадені кошти Minterest були перераховані на міксер Tornado Cash, що робить їх повернення практично неможливим.

Крім того, були атаковані численні сайти з великими протоколами Web3. Зловмисники змінили URL-адреси на ті, що містять програми для зливу гаманців. Деякі з постраждалих сайтів включають Curve Finance, хоча це було швидко вирішено. Ці випадки підкреслюють, що потрібно бути обережним з будь-якими посиланнями Web3, які трапляються.

Моделі відмивання вказують на причетність Lazarus, сумнозвісної групи хакерів. Частина вкрадених коштів змішується та надсилається на невеликі біржі, які не є KYC. Недавній злом відстежив кошти на ринку Huione Guarantee, центрі, який часто використовують хакери Lazarus.

Атаки на управління також стали серйозною проблемою для проектів DeFi. Північнокорейські хакери були пов'язані з кількома атаками на управління. Ці атаки особливо шкідливі, оскільки вони можуть перерозподіляти ліквідність і контроль. Модель DAO, яка пов’язує голосування з розподілом коштів, неодноразово використовувалася.

Наразі TrueFi DAO працює над забезпеченням справедливого управління, водночас висловлюючи занепокоєння щодо можливого зловмисного керування. Темні DAO, які можуть дозволити собі купувати права голосу, становлять суттєву загрозу. Вони отримують право голосу через регулярні дії Web3, такі як ліквідні ставки.

У деяких випадках DAO проводять голосування для розподілу значних казначейств. Самозванці зі створеними частками можуть голосувати та отримати контроль над великими частинами цих скарбниць. Більшість DAO покладаються на розумні контракти, автоматизуючи процес і роблячи його сприйнятливим до експлуатації.

ZachXBT зазначив, що деякі північнокорейські хакери були легко ідентифіковані в DAO-атаках. Їм часто не вдавалося використовувати різноманітні технології завуальування для підкупу голосів. Ця відсутність обережності призвела до викриття їх діяльності.

Підключення до Huione Guarantee Market

Зв’язки з ринком Huione Guarantee викликали підозру щодо гаманців і проектів. Цей ринок може призвести до чорного списку, як нещодавно було з гаманцем Tether (USDT) у блокчейні TRON. Huione Guarantee — це P2P торгова платформа кредитних гарантій і умовного депонування. Будучи нібито невинною платформою для обміну, вона уможливила індивідуальне шахрайство та відмивання вкрадених криптовалют.

Продукти, які продає Huione Guarantee, схожі на зловживання та хаки, знайдені в Telegram. Вони надають програмне забезпечення та інструменти для цільового фішингу та використовують USDT для переказу великих цінностей. Ці транзакції пов’язані з невеликими інтернет-магазинами, що ускладнює зв’язок.

Дослідження ZachXBT показало новий список адрес, пов’язаних із використанням Huione Guarantee. Цей висновок ще більше підкреслює необхідність пильності в криптоспільноті. Участь північнокорейських хакерів створює постійну загрозу цілісності та безпеці криптопроектів.

Повідомлення Північнокорейські хакери видають себе за співробітників, щоб проникнути в криптостартапи, вперше з’явилося на Coinfomania.