اختراق Indodax وسرقة 22 مليون دولار، مجموعة Lazarus مشتبه بها

أصبحت بورصة العملات المشفرة Indodax التي يقع مقرها في إندونيسيا أحدث ضحية لهجوم مع ظهور تكهنات بأنه ربما يكون من تدبير مجموعة Lazarus الكورية الشمالية.

تم تحديدها من قبل منصة الأمن السيبراني Cyvers، وتم تأكيدها من قبل منصات أخرى مثل PeckShield و SlowMist.

استهدف الهجوم محفظة Indodax الساخنة وتمكن من سرقة ما يقرب من 22 مليون دولار من العملات المشفرة المختلفة بما في ذلك Bitcoin و Ether و Polygon و Tron إلى جانب رموز أخرى.

وذكر سايفرز أن السرقة تمت من خلال أكثر من 150 معاملة، وبدأ المهاجم على الفور في تبديل الأموال مقابل الأثير، وهو تكتيك يستخدمه المجرمون عادة لمنع إدراج الأصول المسروقة في القائمة السوداء.

لا يدعم الإيثريوم تعديل أذونات العناوين. وعلى النقيض من ذلك، يمكن لرموز ERC-20 الأخرى تنفيذ وظيفة تعيين داخل عقودها الذكية للحفاظ على قائمة سوداء للعناوين.

مع تحويل الأموال المسروقة إلى ETH، يميل المهاجمون إلى غسل الغنائم عبر خلاطات العملات المشفرة مثل Tornado Cash.

تفاصيل الهجوم

في هذه الحالة، شملت السرقة أكثر من 1.42 مليون دولار في عملة البيتكوين، وحوالي 2.4 مليون دولار في رموز تعتمد على ترون، وأكثر من 14.6 مليون دولار في رموز ERC-20 المختلفة، وحوالي 2.58 مليون دولار في POL، بالإضافة إلى 900 ألف دولار إضافية في ETH من سلسلة بلوكتشين Optimism.

وفقًا لسايفرز، نشأ الهجوم من تسريب المفتاح الخاص للمحفظة الساخنة، وربما يرجع ذلك إلى خرق في جهاز توقيع Indodax - الجهاز المستخدم لتوقيع المعاملات والموافقة عليها.

ومع ذلك، قدرت شركة SlowMist أن هذا الاستغلال نتج عن ثغرة في نظام السحب الخاص بالبورصة، مما سمح للمهاجم بسحب الأموال من المحافظ الساخنة.

وفي الوقت نفسه، قامت شركة Indodax بتعليق جميع الخدمات على منصتها بعد الاعتراف بالاختراق، وكان موقعها الإلكتروني معطلاً أيضًا وقت نشر هذا التقرير.

وفي منشور على X، قالت المنصة إنها "تجري صيانة كاملة" وطمأنت المستخدمين بأن أموالهم آمنة.

وفي منشور لاحق، حذرت البورصة أيضًا المستخدمين من تجنب أي كيانات تتظاهر بأنها Indodax وتقدم خدمات استرداد الأموال.

هذا هو أسلوب احتيال شائع حيث يخدع المحتالون ضحايا الخروقات الأمنية لإرسال الأموال، ويعدون كذباً بمساعدتهم في استعادة أموالهم المفقودة.

ولتوفير بعض الراحة لمستخدميها أثناء الصيانة الجارية، أعلنت البورصة عن تقديم مكافأة قدرها 3 ملايين روبية (حوالي 200 دولار) كل ساعة لثلاثة فائزين. وهي خطوة غير معتادة في موقف كهذا.

ومع ذلك، مع رصيد احتياطي يبلغ 369 مليون دولار، وفقًا لبيانات CoinMarketCap، فإن Indodax لديها وسادة كبيرة يمكن استخدامها للمساعدة في تعويض المستثمرين المتضررين.

مجموعة لعازر مشتبه بها

في غضون ذلك، اقترح يوسي هامر، رئيس الذكاء الاصطناعي في شركة سايفرز، أن الهجوم يحمل أوجه تشابه مع عمليات اختراق سابقة نفذتها مجموعة لازاروس الكورية الشمالية - والتي اشتهرت بعمليات سرقة العملات المشفرة المتطورة.

كما ترددت تكهنات بأن مجموعة Lazarus كانت وراء هجوم 18 يوليو على بورصة العملات المشفرة الهندية WazirX. وعلى نحو مماثل، سُرقت أصول بقيمة 230 مليون دولار من محافظ البورصة الساخنة وتم غسلها عبر Tornado Cash.

وقد أدى شدة الهجوم إلى إغلاق كامل للمنصة التي تسعى الآن إلى تنفيذ مخطط سنغافورة.

وكما ذكرت Invezz سابقًا، شاركت مجموعة القرصنة المدعومة من الدولة الكورية الشمالية في أكثر من 25 عملية اختراق عبر سلاسل الكتل المختلفة من أغسطس 2020 إلى أكتوبر 2023.