Indodax hackede for 22 millioner dollars, mistænkte Lazarus Group

Den indonesiske cryptocurrency-børs Indodax er det seneste offer for et angreb med spekulationer om, at det kunne være orkestreret af den nordkoreanske Lazarus-gruppe.

Flagget af cybersikkerhedsplatformen Cyvers og bekræftet af andre platforme som PeckShield og SlowMist.

Angrebet var rettet mod Indodax' hot wallet og formåede at sluge omkring $22 millioner af forskellige kryptovalutaer, herunder Bitcoin, Ether, Polygon og Tron sammen med andre tokens.

Cyvers oplyser, at tyveriet blev udført over 150 transaktioner, og angriberen begyndte straks at bytte midlerne til Ether, en taktik, der almindeligvis bruges af kriminelle for at forhindre, at de stjålne aktiver blev sortlistet.

Ethereum understøtter ikke ændring af adressetilladelser. I modsætning hertil kan andre ERC-20-tokens implementere en kortlægningsfunktion i deres smarte kontrakter for at opretholde en sortliste over adresser.

Med de stjålne midler konverteret til ETH, har angriberne en tendens til at hvidvaske byttet via cryptocurrency-mixere som Tornado Cash.

Detaljer om angrebet

I dette tilfælde involverede røveriet over $1,42 millioner i Bitcoin, cirka $2,4 millioner i Tron-baserede tokens, mere end $14,6 millioner i forskellige ERC-20 tokens, omkring $2,58 millioner i POL og yderligere $900.000 i ETH fra Optimism blockchain.

Ifølge Cyvers stammede angrebet fra en lækage af hot wallets private nøgle, muligvis på grund af et brud på Indodax' signaturmaskine - den enhed, der blev brugt til at underskrive og godkende transaktioner.

SlowMist vurderede dog, at udnyttelsen skyldtes en sårbarhed i børsens tilbagetrækningssystem, som gjorde det muligt for angriberen at suge midlerne fra de varme tegnebøger.

I mellemtiden suspenderede Indodax alle tjenester på sin platform efter at have erkendt bruddet, og dets hjemmeside var også nede på tidspunktet for offentliggørelsen.

I et X-indlæg sagde platformen, at den "foretog en komplet vedligeholdelse" og forsikrede brugerne om, at deres penge var sikre.

I et efterfølgende indlæg advarede børsen også brugere om at undgå enheder, der udgiver sig for at være Indodax og tilbyder tjenester til inddrivelse af midler.

Dette er en almindelig fidustaktik, hvor svindlere narrer ofre for sikkerhedsbrud til at sende penge, idet de falsk lover at hjælpe med at inddrive deres tabte penge.

For at give nogle lettelser til sine brugere under den igangværende vedligeholdelse, har børsen annonceret en giveaway, der tilbyder 3 millioner rupiah (omtrent $200) hver time til tre vindere. Et træk, der ikke er typisk i en situation som denne.

Men med en reservesaldo på $369 millioner, ifølge CoinMarketCap- data, har Indodax en betydelig pude, der kan bruges til at hjælpe med at kompensere berørte investorer.

Lazarus gruppe mistænkt

I mellemtiden har Yosi Hammer, leder af AI hos Cyvers, foreslået, at angrebet har ligheder med tidligere hacks udført af Nordkoreas Lazarus-gruppe - berygtet for sine sofistikerede krypto-tyverier.

Lazarus-gruppen blev også spekuleret i at have stået bag angrebet den 18. juli på den indiske kryptobørs WazirX. På samme måde blev aktiver for en værdi af 230 millioner dollar stjålet fra børsens hotte punge og hvidvasket via Tornado Cash.

Alvoren af angrebet førte til en fuldstændig lukning af platformen, som nu forfølger en Singapore-ordning.

Som tidligere rapporteret af Invezz, har den nordkoreanske statsstøttede hackergruppe været involveret i mere end 25 hacks på tværs af forskellige blockchains fra august 2020 til oktober 2023.