Indodax gehackt voor 22 miljoen dollar, vermoedt Lazarus Group

De in Indonesië gevestigde cryptobeurs Indodax is het laatste slachtoffer van een aanval. Er zijn speculaties dat de aanval georkestreerd zou zijn door de Noord-Koreaanse Lazarus-groep.

Gesignaleerd door cyberbeveiligingsplatform Cyvers en bevestigd door andere platforms zoals PeckShield en SlowMist.

De aanval was gericht op de hot wallet van Indodax en wist ongeveer 22 miljoen dollar aan verschillende cryptovaluta te stelen, waaronder Bitcoin, Ether, Polygon en Tron, naast andere tokens.

Cyvers stelt dat de diefstal plaatsvond in meer dan 150 transacties en dat de aanvaller de fondsen meteen begon te ruilen voor Ether, een tactiek die criminelen vaak gebruiken om te voorkomen dat de gestolen activa op een zwarte lijst terechtkomen.

Ethereum ondersteunt de wijziging van adresmachtigingen niet. Daarentegen kunnen andere ERC-20-tokens een mappingfunctie implementeren binnen hun smart contracts om een zwarte lijst met adressen bij te houden.

Nadat de gestolen fondsen zijn omgezet in ETH, wassen de aanvallers de buit wit via cryptocurrency-mixers zoals Tornado Cash.

Details van de aanval

In dit geval ging het bij de overval om ruim 1,42 miljoen dollar aan Bitcoin, circa 2,4 miljoen dollar aan Tron-gebaseerde tokens, ruim 14,6 miljoen dollar aan verschillende ERC-20-tokens, circa 2,58 miljoen dollar aan POL en nog eens 900.000 dollar aan ETH van de Optimism-blockchain.

Volgens Cyvers ontstond de aanval door een lek van de privésleutel van de hot wallet, mogelijk als gevolg van een inbreuk op de handtekeningmachine van Indodax: het apparaat dat wordt gebruikt om transacties te ondertekenen en goed te keuren.

SlowMist schatte echter in dat de exploit het gevolg was van een kwetsbaarheid in het opnamesysteem van de beurs, waardoor de aanvaller geld van de hot wallets kon wegsluizen.

Ondertussen heeft Indodax alle diensten op haar platform opgeschort nadat het de inbreuk had erkend. Ook haar website was op het moment van publicatie offline.

In een X-bericht meldde het platform dat het “een compleet onderhoud uitvoerde” en verzekerde het gebruikers dat hun geld veilig was.

In een later bericht waarschuwde de beurs gebruikers ook om weg te blijven van entiteiten die zich voordoen als Indodax en diensten voor het terugvorderen van fondsen aanbieden.

Dit is een veelvoorkomende oplichtingstactiek waarbij fraudeurs slachtoffers van beveiligingsinbreuken zover krijgen dat ze geld overmaken. Ze beloven dan ten onrechte dat ze hun verloren geld terugkrijgen.

Om zijn gebruikers wat verlichting te bieden tijdens het lopende onderhoud, heeft de exchange een giveaway aangekondigd, waarbij elk uur 3 miljoen rupiah (ongeveer $ 200) wordt aangeboden aan drie winnaars. Een zet die niet gebruikelijk is in een situatie als deze.

Volgens gegevens van CoinMarketCap beschikt Indodax echter over een reserve van 369 miljoen dollar, wat betekent dat het een aanzienlijke buffer heeft die kan worden gebruikt om getroffen investeerders te compenseren.

Lazarus-groep verdacht

Yosi Hammer, hoofd AI bij Cyvers, heeft intussen gesuggereerd dat de aanval overeenkomsten vertoont met eerdere hacks uitgevoerd door de Noord-Koreaanse Lazarus Group, berucht om zijn geavanceerde crypto-overvallen.

Er werd ook gespeculeerd dat de Lazarus-groep achter de aanval van 18 juli op de Indiase cryptobeurs WazirX zat. In dezelfde geest werden $ 230 miljoen aan activa gestolen van de hot wallets van de beurs en witgewassen via Tornado Cash.

De ernst van de aanval leidde tot een volledige sluiting van het platform, dat nu een Singapore Scheme of Arrangement uitvoert.

Zoals eerder gemeld door Invezz, is de door de staat gesteunde hackersgroep van Noord-Korea betrokken geweest bij meer dan 25 hacks op verschillende blockchains van augustus 2020 tot oktober 2023.