Indodax hacket for 22 millioner dollar, mistenkte Lazarus Group

Den Indonesia-baserte kryptovalutabørsen Indodax er det siste offeret for et angrep med spekulasjoner om at det kan ha blitt orkestrert av den nordkoreanske Lazarus-gruppen.

Flagget av cybersikkerhetsplattformen Cyvers, og bekreftet av andre plattformer som PeckShield og SlowMist.

Angrepet var rettet mot Indodax sin hete lommebok og klarte å suge av rundt 22 millioner dollar i forskjellige kryptovalutaer, inkludert Bitcoin, Ether, Polygon og Tron sammen med andre tokens.

Cyvers opplyser at tyveriet ble utført over 150 transaksjoner, og angriperen begynte umiddelbart å bytte pengene mot Ether, en taktikk som ofte brukes av kriminelle for å forhindre at de stjålne eiendelene ble svartelistet.

Ethereum støtter ikke endring av adressetillatelser. Derimot kan andre ERC-20-tokens implementere en kartfunksjon i sine smarte kontrakter for å opprettholde en svarteliste over adresser.

Med de stjålne midlene konvertert til ETH, har angriperne en tendens til å vaske byttet via kryptovalutamiksere som Tornado Cash.

Detaljer om angrepet

I dette tilfellet involverte ranet over $1,42 millioner i Bitcoin, omtrent $2,4 millioner i Tron-baserte tokens, mer enn $14,6 millioner i forskjellige ERC-20-tokens, rundt $2,58 millioner i POL, og ytterligere $900 000 i ETH fra Optimism-blokkjeden.

Ifølge Cyvers stammet angrepet fra en lekkasje av den varme lommebokens private nøkkel, muligens på grunn av et brudd på Indodax sin signaturmaskin - enheten som ble brukt til å signere og godkjenne transaksjoner.

SlowMist estimerte imidlertid at utnyttelsen var et resultat av en sårbarhet i børsens uttakssystem som gjorde at angriperen kunne hente pengene fra de varme lommebøkene.

I mellomtiden suspenderte Indodax alle tjenester på plattformen sin etter å ha erkjent bruddet, og nettstedet var også nede på publiseringstidspunktet.

I et X-innlegg sa plattformen at den "utfører et fullstendig vedlikehold" og forsikret brukerne om at pengene deres var trygge.

I et påfølgende innlegg advarte børsen også brukere om å unngå enheter som utgir seg for å være Indodax og tilbyr tjenester for gjenoppretting av midler.

Dette er en vanlig svindeltaktikk der svindlere lurer ofre for sikkerhetsbrudd til å sende penger, og lover falskt å hjelpe til med å få tilbake tapte midler.

For å gi brukerne litt lettelse under det pågående vedlikeholdet, har børsen annonsert en giveaway, som tilbyr 3 millioner rupiah (omtrent $200) hver time til tre vinnere. Et grep som ikke er typisk i en situasjon som denne.

Imidlertid, med en reservesaldo på 369 millioner dollar, ifølge CoinMarketCap- data, har Indodax en betydelig pute som kan brukes til å kompensere berørte investorer.

Lasarus-gruppen mistenkt

I mellomtiden har Yosi Hammer, sjef for kunstig intelligens hos Cyvers, antydet at angrepet har likheter med tidligere hacks utført av Nord-Koreas Lazarus Group – beryktet for sine sofistikerte krypto-ran.

Lazarus-gruppen ble også spekulert i å ha stått bak 18. juli-angrepet på den indiske kryptobørsen WazirX. På samme måte ble eiendeler verdt 230 millioner dollar stjålet fra børsens varme lommebøker og hvitvasket via Tornado Cash.

Alvorlighetsgraden av angrepet førte til en fullstendig nedleggelse av plattformen som nå forfølger en Singapore Scheme of Arrangement.

Som tidligere rapportert av Invezz, har den nordkoreanske statsstøttede hackergruppen vært involvert i mer enn 25 hacks på tvers av ulike blokkjeder fra august 2020 til oktober 2023.