У травні 2024 року японська віртуальна валютна біржа DMM зазнала значних втрат активів, причини яких були пов'язані з північнокорейськими хакерами. Ця подія виявила потенційні вразливості в управлінні внутрішніми системами біржі Японії та перевірці безпеки, викликавши широкий інтерес у галузі до управління гаманцями та безпеки транзакцій.
(Японська ліцензована біржа DMM вкрала 4,503 біткойна, збитки 48,2 мільярда єн)
Японська поліція розслідує: фальшивий рекрутинг, хакери хитро проникли в систему
Нещодавно японська поліція розкрила, що хакери, під виглядом рекрутингової діяльності, обманули технічного працівника компанії DMM, що займається розробкою технологій біткойнів. Під виглядом технічного тестування вони успішно спонукали цього технічного працівника завантажити шкідливу програму. Ця програма потім була використана для вторгнення в торгову систему DMM, що призвело до зміни законних торгових команд і в результаті до перенесення великої кількості криптоактивів до гаманця зловмисників.
(FBI розкриває: Північна Корея активно агресивно вторгається в індустрію криптовалют, соціальна інженерія націлена на співробітників криптовалютних компаній)
Де насправді вразливість системи DMM?
Ця подія зосередила увагу на управлінні холодними гаманцями DMM та процесі перевірки транзакцій. Згідно з відповідними аналізами, DMM, як кінцевий управитель активів, має приватні ключі, необхідні для переміщення активів. Однак подія показала, що зловмисники, змінюючи адресу транзакції, могли скористатися вразливістю в комунікації між управлінським пристроєм і холодним гаманець. Ключовим моментом атаки на зміну адреси транзакції є те, що адреса, згенерована зловмисником, за форматом схожа на законну адресу, що заважає працівникам, відповідальним за перевірку транзакцій, виявити аномалії.
Роль аутсорсера Ginco: аутсорсингова система чи потенційна загроза?
DMM подія також пов'язана з аутсорсинговою компанією Ginco, яка надає систему гаманців. Ginco головним чином відповідає за управління адресами та генерацію транзакцій, але її внутрішня система може стати точкою вторгнення для зловмисників. Деякі аналітики вважають, що хакери можуть впровадити змінену транзакційну інформацію через управлінський пристрій Ginco, а потім підписати її через холодний гаманець DMM. Якщо DMM уважно порівняє зміст транзакції перед і після підписання, вони повинні були б виявити аномалії, але насправді цей етап був упущений.
Стратегія північнокорейських хакерів + потенційні слабкості DMM призвели до прориву!
Цю атаку вважають ретельно спланованою операцією північнокорейських хакерів. Хоча біржі зазвичай регулярно проводять переміщення активів для забезпечення безпеки, DMM виявила вразливості в системній експлуатації під час переміщення, ставши головною мішенню для зловмисників. Експерти зазначають, що зловмисники, ймовірно, вибрали прогнозований і зручний для дій момент, скориставшись операційними звичками DMM для точного удару.
Попередження для індустрії криптовалют: внутрішня та зовнішня безпека повинні бути присутніми
Коментарі вважають, що ця подія є серйозним сигналом для всього сектору криптовалют. Навіть якщо середовище холодного гаманця вважається найбезпечнішим способом управління активами, зловмисники все ще можуть здійснювати атаки через аутсорсингові системи управління або внутрішні вразливості. Тому галузь повинна посилити перевірки безпеки на кожному етапі, від генерації транзакцій до остаточного підписання, і дотримуватись принципу «Не довіряй, перевіряй».
Щодо цієї події експерти рекомендують біржам посилити навчання співробітників і освіту з безпеки, а також використовувати багатофакторну аутентифікацію для поетапної перевірки транзакцій. Крім того, зміцнення управління та моніторингу аутсорсингових компаній також є необхідним заходом. Для інших бірж, які використовують систему Ginco, особливо важливо своєчасно провести перевірку вразливостей і вжити тимчасових заходів безпеки.
Ця стаття Японської біржі DMM вкрала біткойни 48,2 мільярда: північнокорейські хакери замішані, внутрішні операції, аутсорсери Ginco також мають проблеми вперше з'явилася на Chain News ABMedia.
