Indodax'ın 22 milyon dolar çalındığı iddia ediliyor, Lazarus Group şüpheleniyor

Endonezya merkezli kripto para borsası Indodax, Kuzey Koreli Lazarus grubu tarafından düzenlenmiş olabileceği yönünde spekülasyonların ortaya çıktığı bir saldırının son kurbanı oldu.

Siber güvenlik platformu Cyvers tarafından işaretlendi ve PeckShield ve SlowMist gibi diğer platformlar tarafından doğrulandı.

Saldırıda Indodax'ın sıcak cüzdanı hedef alındı ve Bitcoin, Ether, Polygon ve Tron'un yanı sıra diğer token'ların da aralarında bulunduğu yaklaşık 22 milyon dolar değerinde çeşitli kripto paralar çalındı.

Cyvers, hırsızlığın 150'den fazla işlem üzerinden gerçekleştirildiğini ve saldırganın hemen parayı Ether ile değiştirmeye başladığını, bunun suçlular tarafından çalınan varlıkların kara listeye alınmasını önlemek için sıklıkla kullanılan bir taktik olduğunu belirtti.

Ethereum adres izinlerinin değiştirilmesini desteklemez. Buna karşılık, diğer ERC-20 token'ları, adreslerin kara listesini tutmak için akıllı sözleşmeleri içinde bir eşleme işlevi uygulayabilir.

Çalınan paralar ETH'ye dönüştürüldükten sonra saldırganlar, Tornado Cash gibi kripto para karıştırıcıları aracılığıyla elde ettikleri parayı aklamaya çalışıyor.

Saldırının detayları

Bu durumda soygunda 1,42 milyon doların üzerinde Bitcoin, yaklaşık 2,4 milyon dolar değerinde Tron tabanlı token, 14,6 milyon doların üzerinde çeşitli ERC-20 token, yaklaşık 2,58 milyon dolar değerinde POL ve Optimism blok zincirinden ek olarak 900.000 dolar değerinde ETH yer aldı.

Cyvers'a göre saldırı, muhtemelen Indodax'ın imza makinesinde (işlemleri imzalamak ve onaylamak için kullanılan cihaz) meydana gelen bir ihlalden dolayı sıcak cüzdanın özel anahtarının sızdırılması sonucu gerçekleşti.

Ancak SlowMist, saldırının borsanın para çekme sistemindeki bir güvenlik açığından kaynaklandığını ve saldırganın sıcak cüzdanlardaki parayı zimmete geçirmesine olanak tanıdığını tahmin ediyor.

Bu arada Indodax, ihlali kabul ettikten sonra platformundaki tüm hizmetleri askıya aldı ve yayınlandığı sırada web sitesi de kapalıydı.

Platform, X paylaşımında "tam bir bakım çalışması yürütüldüğünü" belirterek, kullanıcılarına fonlarının güvende olduğunun güvencesini verdi.

Borsa, daha sonra yaptığı paylaşımda kullanıcıları, Indodax gibi davranan ve fon kurtarma hizmetleri sunan kuruluşlardan uzak durmaları konusunda uyardı.

Bu, dolandırıcıların güvenlik ihlali mağdurlarını kandırarak, kaybettikleri paraları geri almalarına yardımcı olacaklarına dair yalan vaatlerde bulundukları yaygın bir dolandırıcılık taktiğidir.

Devam eden bakım sırasında kullanıcılarına biraz olsun rahatlama sağlamak için borsa, üç kazanan kişiye her saat 3 milyon rupiah (kabaca 200 $) teklif eden bir çekiliş duyurdu. Bu tür bir durumda tipik olmayan bir hareket.

Ancak CoinMarketCap verilerine göre 369 milyon dolarlık rezerv bakiyesi bulunan Indodax, etkilenen yatırımcıların tazmin edilmesine yardımcı olmak için kullanılabilecek önemli bir yastığa sahip.

Lazarus grubu şüpheli

Bu arada Cyvers'ın Yapay Zeka Başkanı Yosi Hammer, saldırının, karmaşık kripto soygunlarıyla ünlü Kuzey Koreli Lazarus Group tarafından gerçekleştirilen önceki saldırılara benzediğini öne sürdü.

Lazarus grubunun ayrıca 18 Temmuz'da Hindistan kripto borsası WazirX'e yapılan saldırının arkasında olduğu tahmin ediliyordu. Benzer şekilde, borsanın sıcak cüzdanlarından 230 milyon dolar değerinde varlık çalındı ve Tornado Cash aracılığıyla aklandı.

Saldırının şiddeti, platformun tamamen kapanmasına yol açtı ve şu anda Singapur Düzenleme Planı'nı uygulamaya çalışıyor.

Invezz'in daha önce bildirdiği üzere, Kuzey Kore devlet destekli bilgisayar korsanlığı grubu, Ağustos 2020'den Ekim 2023'e kadar çeşitli blok zincirlerinde 25'ten fazla saldırı gerçekleştirdi.