总部位于爱沙尼亚的加密货币支付提供商 CoinsPaid 上月 22 日被骇客攻击,损失 3700 万美元,如今 CoinsPaid 发布分析报告认为,此次骇客攻击是由北韩骇客组织拉撒路(Lazarus Group)透过社交工程攻击所为。 (前情提要:ZachXBT揭真相:链上赌金平台Alphapo被盗真兇疑北韩骇客拉撒路) (背景补充:观点》币圈两大毒瘤:北韩骇客和美国SEC主席)
加密货币支付提供商 CoinsPaid 发布被骇事故分析报告指出,北韩骇客组织拉撒路(Lazarus Group)花了 6 个月的时间,仔细追蹤和研究 CoinsPaid 系统,尝试各种形式的攻击,包括社交工程攻击、分散式阻断服务(DDoS)攻击、蛮力攻击等,提交多次密码,希望最终能猜对。
今年 3 月,CoinsPay 工程师们收到一份号称是「乌克兰加密货币支付处理新创公司」提出的有关技术基础设施的问题清单;今年 6 月、 7 月,工程师们更收到虚假的工作邀请和贿赂,到了 7 月 7 日,一场涉及 15 万个 IP 地址的大规模攻击,袭击了 CoinsPaid 的基础设施和应用。
儘管这一系列的攻击没有成功,但是在这些行动中获得的资讯,最终成功帮助骇客在 7 月 22 日窃走价值 3700 万美元的资产。
当日,一名 CoinsPaid 员工下载了恶意软体,以为自己正接受加密货币交易所 Crypto.com 一份薪酬丰厚工作的面试,在该员工下载恶意代码后,骇客得以进入 CoinsPaid 系统,并利用一个软体漏洞,成功伪造从 CoinsPaid 热钱包中提取资金的授权请求。
随后,骇客将大部分资金转入跨链桥 SwftSwap ,其中一些资金则转入波场区块链上的去中心化交易所 SunSwap 和 SimpleSwap,骇客还将资金转入混币器 Sinbad,以掩盖被窃加密货币的流动性,从而规避认识客户(KYC)和反洗钱(AML)要求。
多次实施社交工程攻击
值得注意的是,提供给 CoinsPaid 员工的假职缺,并非是个孤立的事件。在为期 6 个月的行动中,骇客频繁实施社交工程攻击,针对 CoinsPay 的员工,在 LinkedIn 等平台提供诱人的工作机会,月薪从 1.6 万美元到 2.4 万美元不等。
CoinsPaid 正準备就此事件举行圆桌会议 ,并表示已从此事件中吸取教训,该公司将培训员工识别社会工程策略(包括假职缺邀请),以及让员工理解,小规模、不成功的骇客尝试,可能只是为更大规模的攻击做準备。
此前,Chainalysis 数据统计,北韩骇客共已通过窃盗加密货币,获得超过 30 亿美元的收入,这些资金的 50% 被用来资助北韩的弹道飞弹和核武项目,而国防支出佔北韩总支出的很大比重。