По данным отчета, кража криптовалюты на сумму 235 миллионов долларов у WazirX была «совершена» северокорейскими хакерами

Как опытный аналитик по кибербезопасности с более чем десятилетним опытом расследования и анализа цифровых нарушений, я считаю, что взлом WazirX является важным событием, которое подчеркивает развитие тактики, используемой киберпреступниками, особенно теми, которые связаны с Северной Кореей.

Предполагается, что цифровые активы на сумму около 235 миллионов долларов были украдены с индийской криптовалютной платформы WazirX после крупной кибератаки, произошедшей примерно в четверг утром.

Судя по недавнему сообщению компании на X, похоже, что их кошельки с мультиподписями стали объектом взлома безопасности, что привело к значительной потере средств.

Согласно последнему анализу Elliptic, кражу блокчейна можно отнести к хакерам, подозреваемым в связях с Северной Кореей. Эту связь далее подтвердил ZachXBT в своем недавнем посте на X, в котором он предположил, что «взлом WazirX» имеет сходство с прошлыми атаками, осуществленными Lazarus Group.

Согласно выводам Elliptic, этот инцидент входит в число наиболее значительных ограблений криптовалюты, связанных со страной. В докладе подчеркивается, что это не единичный случай; вместо этого это представляет собой продолжение атак северокорейских кибергрупп на крупных игроков в секторе криптовалют.

Примечательно, что наибольшая часть украденных средств состояла из различных криптоактивов, включая популярные токены, такие как Ethereum, а также менее известные, такие как Shiba Inu, PEPE, MATIC и Floki. Это указывает на обширный охват хакеров своих целей.

По данным отчета, кража криптовалюты на сумму 235 миллионов долларов у WazirX была «совершена» северокорейскими хакерами

Отслеживание цифрового следа

После взлома X, как сообщил ZachXBT в ходе совместного расследования, украденные цифровые активы были перенаправлены в новый кошелек, который ранее финансировался через крипто-тумблер Tornado Cash, ориентированный на конфиденциальность. Эта услуга обычно используется для сокрытия происхождения транзакций с криптовалютой.

Начиная с адреса Ethereum 0x6ee, который 10 июля провел тестовые транзакции с использованием мультиподписного кошелька 0x09b и получил в общей сложности 6 транзакций, каждая стоимостью 0,1 ETH, также профинансированных Tornado с помощью SHIB.

0x6eedf92fb92dd68a270c3205e96dccc527728066

Техническое описание атаки Mudit можно найти ниже

— ZachXBT (@zachxbt), 18 июля 2024 г.

Отличительной особенностью их методов отмывания денег является то, как киберпреступники, в том числе из Северной Кореи, скрывают следы похищенных активов. По данным Ellptic, эта закономерность наблюдалась в прошлых атаках, приписываемых этим хакерам, и предполагает последовательную стратегию сокрытия их цифровых следов.

DEX сыграли роль в конвертации украденных криптовалют в Ethereum, из-за чего властям стало сложнее отслеживать доходы, полученные нечестным путем. Этот этап схемы отмывания денег помогает преступникам избежать обнаружения и усложняет отслеживание средств.

Elliptic недавно усовершенствовала свои системы для идентификации и оповещения пользователей о любых транзакциях, связанных со скомпрометированными криптовалютными адресами. Эта функция помогает защитить своих клиентов от непреднамеренного использования средств, полученных незаконным путем.

Подробности раскрыты

В ответ на недавний инцидент ZachXBT обнаружил депозитный адрес, связанный с процедурой «Знай своего клиента» (KYC), который использовался злоумышленником для получения средств с помощью эксплойта WazirX. Это открытие потенциально может помочь расследованию установить и задержать эксплуататора.

ZachXBT@ZachXBT предоставил убедительные доказательства того, что злоумышленник WazirX использовал депозитный адрес, связанный с проверкой KYC, для вывода средств, выполняя одно требование награды: идентификацию депозитного адреса централизованной биржи, связанного с KYC.

Это…

— Аркхэм (@ArkhamIntel), 18 июля 2024 г.

Как исследователь, я столкнулся с интригующей точкой зрения ZachXBT относительно проверки «Знай своего клиента» (KYC) в определенных сценариях. Он заявляет, что, несмотря на процесс KYC, по-прежнему возможно получить проверенные учетные записи менее чем за 100 долларов США в Интернете.

Проще говоря, если хакер не использовал свою настоящую личность при переводе украденных денег на депозитный адрес, определенный ZachXBT с помощью процедур «Знай своего клиента» (KYC), то эта информация может не помочь в их отслеживании.

По данным отчета, кража криптовалюты на сумму 235 миллионов долларов у WazirX была «совершена» северокорейскими хакерами

Рекомендуемое изображение, созданное с помощью DALL-E, диаграмма из TradingView

Смотрите также

2024-07-19 11:12