Indodax hackade för 22 miljoner dollar, misstänkte Lazarus Group

Den Indonesienbaserade kryptovalutabörsen Indodax är det senaste offret för en attack med spekulationer om att den kan ha orkestrerats av den nordkoreanska Lazarus-gruppen.

Flaggas av cybersäkerhetsplattformen Cyvers, och bekräftad av andra plattformar som PeckShield och SlowMist.

Attacken riktade sig mot Indodaxs heta plånbok och lyckades ta bort olika kryptovalutor till ett värde av cirka 22 miljoner dollar, inklusive Bitcoin, Ether, Polygon och Tron tillsammans med andra tokens.

Cyvers uppger att stölden utfördes över 150 transaktioner och angriparen började omedelbart byta ut pengarna mot Ether, en taktik som ofta används av kriminella för att förhindra att de stulna tillgångarna svartlistas.

Ethereum stöder inte modifiering av adressbehörigheter. Däremot kan andra ERC-20-tokens implementera en kartfunktion i sina smarta kontrakt för att upprätthålla en svartlista med adresser.

Med de stulna medlen omvandlade till ETH tenderar angriparna att tvätta bytet via blandare av kryptovaluta som Tornado Cash.

Detaljer om attacken

I det här fallet involverade rånet över $1,42 miljoner i Bitcoin, cirka $2,4 miljoner i Tron-baserade tokens, mer än $14,6 miljoner i olika ERC-20-tokens, runt $2,58 miljoner i POL och ytterligare $900 000 i ETH från Optimism-blockkedjan.

Enligt Cyvers härrörde attacken från ett läckage av den heta plånbokens privata nyckel, möjligen på grund av ett brott i Indodax signaturmaskin - enheten som används för att signera och godkänna transaktioner.

SlowMist uppskattade dock att utnyttjandet berodde på en sårbarhet i börsens uttagssystem som gjorde det möjligt för angriparen att hämta pengarna från de heta plånböckerna.

Samtidigt stängde Indodax av alla tjänster på sin plattform efter att ha erkänt intrånget och dess webbplats låg också nere vid tidpunkten för publiceringen.

I ett X-inlägg sa plattformen att den "utför ett fullständigt underhåll" och försäkrade användarna att deras pengar var säkra.

I ett efterföljande inlägg varnade börsen också användare för att undvika alla enheter som utger sig för att vara Indodax och erbjuder fondåterställningstjänster.

Det här är en vanlig bedrägeritaktik där bedragare lurar offer för säkerhetsintrång att skicka pengar, falskt lovande att hjälpa till att få tillbaka sina förlorade pengar.

För att ge lite lättnad till sina användare under det pågående underhållet har börsen tillkännagett en giveaway som erbjuder 3 miljoner rupiah (ungefär $200) varje timme till tre vinnare. Ett drag som inte är typiskt i en situation som denna.

Men med ett reservsaldo på 369 miljoner dollar, enligt CoinMarketCap- data, har Indodax en betydande kudde som kan användas för att kompensera drabbade investerare.

Lazarus grupp misstänkt

Under tiden har Yosi Hammer, chef för AI på Cyvers, föreslagit att attacken har likheter med tidigare hack som utförts av Nordkoreas Lazarus-grupp – ökända för sina sofistikerade kryptorån.

Lazarus-gruppen spekulerades också ha legat bakom attacken den 18 juli på den indiska kryptobörsen WazirX. På liknande sätt stals tillgångar för 230 miljoner dollar från börsens heta plånböcker och tvättades via Tornado Cash.

Attackens svårighetsgrad ledde till en fullständig avstängning av plattformen som nu driver ett Singapore Scheme of Arrangement.

Som tidigare rapporterats av Invezz har den nordkoreanska statsstödda hackergruppen varit involverad i mer än 25 hacks över olika blockkedjor från augusti 2020 till oktober 2023.