Grupa Lazarus podejrzewa, że hakerzy zhakowali Indodax na kwotę 22 milionów dolarów

Indonezyjska giełda kryptowalut Indodax jest najnowszą ofiarą ataku. Pojawiły się spekulacje, że za atakiem mogła stać północnokoreańska grupa Lazarus.

Oznaczone przez platformę cyberbezpieczeństwa Cyvers i potwierdzone przez inne platformy, takie jak PeckShield i SlowMist.

Atak był wymierzony w gorący portfel Indodax i udało mu się ukraść różne kryptowaluty o wartości około 22 milionów dolarów, w tym Bitcoin, Ether, Polygon i Tron, a także inne tokeny.

Cyvers podaje, że kradzież obejmowała ponad 150 transakcji, a atakujący natychmiast zaczął wymieniać środki na Ether, co jest powszechnie stosowaną taktyką przez przestępców, aby zapobiec umieszczeniu skradzionych aktywów na czarnej liście.

Ethereum nie obsługuje modyfikacji uprawnień adresowych. W przeciwieństwie do tego inne tokeny ERC-20 mogą implementować funkcję mapowania w swoich inteligentnych kontraktach, aby utrzymywać czarną listę adresów.

Po wymianie skradzionych środków na ETH, atakujący zazwyczaj piorą pieniądze za pośrednictwem mikserów kryptowalut, takich jak Tornado Cash.

Szczegóły ataku

W tym przypadku kradzież dotyczyła ponad 1,42 miliona dolarów w Bitcoinach, około 2,4 miliona dolarów w tokenach opartych na Tron, ponad 14,6 miliona dolarów w różnych tokenach ERC-20, około 2,58 miliona dolarów w POL i dodatkowych 900 000 dolarów w ETH z blockchaina Optimism.

Według Cyversa, atak rozpoczął się od wycieku klucza prywatnego gorącego portfela, prawdopodobnie z powodu naruszenia bezpieczeństwa maszyny podpisującej Indodax — urządzenia służącego do podpisywania i zatwierdzania transakcji.

Jednak SlowMist oszacował, że przyczyną ataku była luka w zabezpieczeniach systemu wypłat giełdy, która umożliwiła atakującemu przejęcie środków z gorących portfeli.

W międzyczasie Indodax zawiesił wszystkie usługi na swojej platformie po potwierdzeniu naruszenia. W momencie publikacji informacja była niedostępna także w jego witrynie internetowej.

W poście X platforma poinformowała, że „przeprowadza kompleksową konserwację” i zapewniła użytkowników, że ich środki są bezpieczne.

W kolejnym poście giełda ostrzegła użytkowników przed wszelkimi podmiotami podszywającymi się pod Indodax i oferującymi usługi odzyskiwania środków.

To powszechna taktyka oszustwa, w której oszuści nakłaniają ofiary naruszeń bezpieczeństwa do wysłania pieniędzy, fałszywie obiecując pomoc w odzyskaniu utraconych środków.

Aby zapewnić ulgę użytkownikom podczas trwającej konserwacji, giełda ogłosiła rozdawnictwo, oferując 3 miliony rupii (około 200 USD) co godzinę trzem zwycięzcom. To nietypowy ruch w takiej sytuacji.

Jednak według danych CoinMarketCap, dysponując saldem rezerwowym w wysokości 369 milionów dolarów, Indodax dysponuje pokaźną rezerwą, która mogłaby zostać wykorzystana do rekompensaty poszkodowanym inwestorom.

Podejrzewa się grupę Łazarza

W międzyczasie Yosi Hammer, szef działu sztucznej inteligencji w firmie Cyvers, zasugerował, że atak przypomina wcześniejsze włamania przeprowadzone przez północnokoreańską grupę Lazarus, znaną z wyrafinowanych kradzieży kryptowalut.

Spekulowano również, że grupa Lazarus stała za atakiem z 18 lipca na indyjską giełdę kryptowalut WazirX. W podobnym duchu z gorących portfeli giełdy skradziono aktywa o wartości 230 milionów dolarów i wyprano je za pośrednictwem Tornado Cash.

Powaga ataku doprowadziła do całkowitego zamknięcia platformy, która obecnie realizuje program uzgodnieniowy w Singapurze.

Jak wcześniej informował Invezz, północnokoreańska grupa hakerska wspierana przez państwo dokonała ponad 25 ataków hakerskich na różne blockchainy w okresie od sierpnia 2020 r. do października 2023 r.