Indodax a piratat pentru 22 de milioane de dolari, a bănuit Lazarus Group

Bursa de criptomonede Indodax, cu sediul în Indonezia, este cea mai recentă victimă a unui atac, cu speculații că ar fi putut fi orchestrată de grupul nord-coreean Lazarus.

Marcat de platforma de securitate cibernetică Cyvers și confirmat de alte platforme precum PeckShield și SlowMist.

Atacul a vizat portofelul fierbinte al lui Indodax și a reușit să elimine diferite criptomonede în valoare de aproximativ 22 de milioane de dolari, inclusiv Bitcoin, Ether, Polygon și Tron, alături de alte jetoane.

Cyvers afirmă că furtul a fost efectuat în peste 150 de tranzacții, iar atacatorul a început imediat să schimbe fondurile cu Ether, o tactică folosită în mod obișnuit de criminali pentru a preveni includerea pe lista neagră a bunurilor furate.

Ethereum nu acceptă modificarea permisiunilor de adrese. În schimb, alte jetoane ERC-20 pot implementa o funcție de mapare în cadrul contractelor lor inteligente pentru a menține o listă neagră de adrese.

Cu fondurile furate convertite în ETH, atacatorii au tendința de a spăla prada prin mixere de criptomonede precum Tornado Cash.

Detalii despre atac

În acest caz, furtul a implicat peste 1,42 milioane USD în Bitcoin, aproximativ 2,4 milioane USD în jetoane bazate pe Tron, mai mult de 14,6 milioane USD în diverse jetoane ERC-20, aproximativ 2,58 milioane USD în POL și 900.000 USD suplimentari în ETH din blockchain-ul Optimism.

Potrivit Cyvers, atacul a provenit dintr-o scurgere a cheii private a portofelului, posibil din cauza unei breșe în aparatul de semnătură al lui Indodax - dispozitivul folosit pentru a semna și a aproba tranzacțiile.

Cu toate acestea, SlowMist a estimat că exploitul a rezultat dintr-o vulnerabilitate în sistemul de retragere al bursei care a permis atacatorului să sifoneze fondurile din portofelele fierbinți.

Între timp, Indodax a suspendat toate serviciile de pe platforma sa după ce a recunoscut încălcarea, iar site-ul său era, de asemenea, oprit la momentul publicării.

Într-o postare X, platforma a spus că „realizează o întreținere completă” și a asigurat utilizatorii că fondurile lor sunt în siguranță.

Într-o postare ulterioară, bursa a avertizat, de asemenea, utilizatorii să evite orice entitate care se pretinde a fi Indodax și care oferă servicii de recuperare de fonduri.

Aceasta este o tactică obișnuită de înșelătorie în care escrocii păcălesc victimele încălcării securității să trimită bani, promițând în mod fals să ajute la recuperarea fondurilor pierdute.

Pentru a oferi o oarecare ușurare utilizatorilor săi în timpul întreținerii în curs, bursa a anunțat un cadou, oferind 3 milioane de rupii (aproximativ 200 USD) la fiecare oră pentru trei câștigători. O mișcare care nu este tipică într-o situație ca aceasta.

Cu toate acestea, cu un sold de rezervă de 369 de milioane de dolari, conform datelor CoinMarketCap, Indodax are o pernă considerabilă care ar putea fi folosită pentru a ajuta la compensarea investitorilor afectați.

Grupul Lazăr bănuit

Între timp, Yosi Hammer, șeful AI la Cyvers, a sugerat că atacul prezintă asemănări cu hackurile anterioare efectuate de Grupul Lazarus din Coreea de Nord – renumit pentru furturile sale sofisticate de criptomonede.

S-a speculat, de asemenea, că grupul Lazarus s-a aflat în spatele atacului din 18 iulie asupra schimbului criptografic indian WazirX. În mod similar, active în valoare de 230 de milioane de dolari au fost furate din portofelele fierbinți ale bursei și spălate prin Tornado Cash.

Severitatea atacului a dus la oprirea completă a platformei, care urmărește acum o schemă de aranjament din Singapore.

După cum a raportat anterior de către Invezz, grupul de hacking susținut de stat nord-coreean a fost implicat în mai mult de 25 de hack-uri în diverse blockchain-uri din august 2020 până în octombrie 2023.