Indodax hakkeroitu 22 miljoonalla dollarilla, Lazarus Group epäili

Indonesialainen kryptovaluuttapörssi Indodax on hyökkäyksen viimeisin uhri, ja spekuloidaan, että sen olisi saattanut järjestää pohjoiskorealainen Lazarus-ryhmä.

Kyberturvallisuusalusta Cyvers on ilmoittanut ja muut alustat, kuten PeckShield ja SlowMist, vahvistaneet.

Hyökkäys kohdistui Indodaxin kuumaan lompakkoon ja onnistui poistamaan noin 22 miljoonan dollarin arvosta erilaisia kryptovaluuttoja, mukaan lukien Bitcoin, Ether, Polygon ja Tron muiden rahakkeiden rinnalla.

Cyversin mukaan varkaus suoritettiin yli 150 tapahtumassa ja hyökkääjä alkoi välittömästi vaihtaa varoja Etheriin, rikollisten yleisesti käyttämää taktiikkaa estääkseen varastetun omaisuuden joutumisen mustalle listalle.

Ethereum ei tue osoitelupien muuttamista. Sitä vastoin muut ERC-20-tunnukset voivat toteuttaa kartoitustoiminnon älykkäissä sopimuksissaan ylläpitääkseen mustaa listaa osoitteista.

Kun varastetut varat on muunnettu ETH:ksi, hyökkääjillä on tapana pestä saaliita kryptovaluuttasekoittimien, kuten Tornado Cash, kautta.

Hyökkäyksen yksityiskohdat

Tässä tapauksessa ryöstö koski yli 1,42 miljoonaa dollaria Bitcoinia, noin 2,4 miljoonaa dollaria Tron-pohjaisia tokeneita, yli 14,6 miljoonaa dollaria erilaisissa ERC-20-tokeneissa, noin 2,58 miljoonaa dollaria POL:ssa ja lisäksi 900 000 dollaria ETH:ta Optimism-lohkoketjusta.

Cyversin mukaan hyökkäys sai alkunsa hot lompakon yksityisen avaimen vuotamisesta, mikä johtui mahdollisesti rikkomuksesta Indodaxin allekirjoituskoneessa - laitteessa, jota käytettiin tapahtumien allekirjoittamiseen ja hyväksymiseen.

SlowMist arvioi kuitenkin, että hyväksikäyttö johtui pörssin nostojärjestelmän haavoittuvuudesta, jonka ansiosta hyökkääjä saattoi kerätä varoja hot lompakoista.

Samaan aikaan Indodax keskeytti kaikki palvelut alustallaan todettuaan tietomurron, ja sen verkkosivusto oli myös poissa julkaisuhetkellä.

X-viestissä alusta sanoi, että se "suorittaa täydellistä huoltoa" ja vakuutti käyttäjille, että heidän varat olivat turvassa.

Myöhemmässä viestissä pörssi myös varoitti käyttäjiä välttämään kaikkia tahoja, jotka teeskentelevät olevansa Indodax ja tarjoavat rahastojen palautuspalveluita.

Tämä on yleinen huijaustaktiikka, jossa huijarit huijaavat tietoturvaloukkausten uhrit lähettämään rahaa ja lupaavat virheellisesti auttaa takaisin menetetyissä varoissaan.

Tarjotakseen hieman helpotusta käyttäjilleen jatkuvan huollon aikana, pörssi on julkistanut lahjan, joka tarjoaa 3 miljoonaa rupiaa (noin 200 dollaria) joka tunti kolmelle voittajalle. Liike, joka ei ole tyypillistä tällaisessa tilanteessa.

CoinMarketCapin tietojen mukaan Indodaxilla on kuitenkin 369 miljoonan dollarin varantosaldo, jolla on huomattava tyyny, jota voitaisiin käyttää kompensoimaan asianomaisia sijoittajia.

Lasarus-ryhmää epäillään

Sillä välin Cyversin tekoälypäällikkö Yosi Hammer on ehdottanut, että hyökkäyksessä on yhtäläisyyksiä aiempien pohjoiskorealaisen Lazarus Groupin hakkerointien kanssa, joka on kuuluisa kehittyneistä kryptoryöstöistään.

Lazarus-ryhmän arveltiin myös olleen 18. heinäkuuta tehdyn hyökkäyksen takana intialaiseen kryptopörssiin WazirX. Samaan tapaan pörssin lompakoista varastettiin 230 miljoonan dollarin arvosta omaisuutta ja pestiin Tornado Cashin kautta.

Hyökkäyksen vakavuus johti alustan täydelliseen sulkemiseen, sillä nyt se noudattaa Singaporen järjestelyä.

Kuten Invezz on aiemmin raportoinut, Pohjois-Korean valtion tukema hakkerointiryhmä on ollut mukana yli 25 hakkeroinnissa eri lohkoketjuissa elokuusta 2020 lokakuuhun 2023.