Hacker vs Hacker: North Koreans Attempt to Phish Euler Exploiter of $200M in Crypto, Experts Say
지난 3월 암호화폐 게임 악시 인피니티에서 6억2500만 달러어치를 훔친 이른바 ‘로닌 브릿지 익스플로잇’은 오일러의 익스플로잇에게 암호화된 메시지를 해독해달라는 온체인 노트를 보냈습니다. 그러나 코인데스크와 통화한 전문가에 따르면 메시지는 오일러 개발자의 지갑 자격 증명을 훔치려는 피싱 사기였습니다.
한 암호화 해커에서 다른 암호화 해커로의 가능성 없는 교환은 암호화 트위터의 혼란을 촉발했고 오일러 파이낸스에 경종을 울렸습니다. 오일러 파이낸스는 이미 2억 달러를 회수하기 위한 자체 온라인 노력을 시작한 지 며칠이 지났습니다. 오일러는 이더리움 블록체인에서 암호화폐를 빌려주는 플랫폼입니다.
라자루스 그룹은 북한과 관련이 있는 것으로 알려진 해커 그룹입니다. 관측통들은 라자루스가 북한의 무기 프로그램에 자금을 대는 것으로 알려진 암호화폐 세계를 상대로 수십억 달러의 캠페인을 벌이고 있다고 비난했습니다.
Googletag.cmd.push(function() {googletag.display(‘js-dfp-tag-Jx8’); };
로닌 해커 지갑이 오일러 해커 지갑을 메시지로 보낸 지 몇 분 후 오일러 파이낸스의 개발자들은 자신들의 메시지로 개입하려고 했습니다. 그들은 “여기서 가장 간단한 방법은 자금을 반환하는 것이다”라고 말하며 그들 자신의 해커에게 알려진 암호 해독 소프트웨어를 경계하라고 경고했습니다
오일러 개발자들은 별도의 거래를 계속했습니다. “어떤 상황에서도 메시지를 보려고 하지 마십시오. 어디에도 개인 키를 입력하지 마십시오. 기계도 손상될 수 있음을 상기시킵니다.”
의견
Etherium Foundation의 전 개발자인 Hudson Jameson은 Ronin 해커의 제안은 오일러 해커가 개인 키, 즉 암호를 포기하도록 속이려는 얄팍한 시도일 수 있다고 말했습니다. 하지만 그는 온라인 메시지 뒤에 숨겨진 동기는 여전히 불분명하다고 말했습니다.
제임슨은 코인데스크와의 인터뷰에서 “왜 그들이 질문하는지는 알 수 없지만 오일러 해커가 피싱 시도에 넘어갔는지 확인하려는 시도일 수 있다”고 말했습니다.
보안 감사 회사 Zellic.io 의 공동 설립자인 Stephen Tong은 로닌의 암호화된 메시지에 오일러 해커에 대한 “악성”이 포함되어 있을 것이라고 추측했습니다. “하지만 개인 키 없이 메시지를 해독할 수 없기 때문에 확실하게 알 수 없습니다.”
이 온체인 드라마는 오일러 파이낸스가 이더리움 블록체인에 인코딩된 메시지를 통해 자체 협상을 시도하는 과정에서 발생합니다. 해커가 화요일에 응답한 것은 오일러 파이낸스의 2억 달러 반환 요청이었습니다:
구글태그.cmd.push(function() {구글태그.display(‘js-dfp-tag-E_0’); };
“우리는 이것을 모든 피해자들에게 쉽게 해주고 싶습니다. 우리 것이 아닌 것을 지킬 의도는 없습니다.” 해커는 로닌 착취자의 피싱 시도를 무시한 듯 오일러 파이낸스에 회신했습니다. 다음 메시지가 계속되었습니다: “곧 통신할 것입니다.”
자세히 보기: 오일러 파이낸스, 약 2억 달러의 악용으로 100만 달러의 보상 제공
Ronin Bridge 개발자와 오일러 파이낸스 개발자 모두 의견 요청을 즉시 회신하지 않았습니다.
화요일의 메시지는 두 착취자가 길을 건너는 첫 번째가 아니었습니다. 3월 17일, 오일러 파이낸스 개발자는 라자루스 그룹의 로닌 강도와 연결된 지갑에 100 에테르(ETH). 이유는 분명하지 않았습니다.
메시지는 이더리움이 어떻게 가장 가능성 없는 대화를 위한 플랫폼이 될 수 있는지를 강조합니다.라고 Jameson은 말했습니다.
“메시징 제어를 유지하는 중앙 집중식 시스템과 달리 오일러 개발자는 공개 스마트 계약 개발에 대응하여 새로운 시대의 통신 및 프로세스의 예를 제공합니다.”
// Ex.co 스크립트 및 중간 아티클 배치( 함수 (d, s, n) {varjs, fjs = d.getElementsByTagName(s)[0]; js = d.createElements(s), js.className = n; js.s.src = “/player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fj.parentNode.Inservo, ‘Ex.co’s’s’s’document’를 실행합니다.inser.inter, place;.getElementsByClassName(‘비디오 자리 표시자’)[0]; varexcoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-fa4f’fb’; if(video&document.getElementById){cf}, faf7f}, fafnff}, fafnedefnedefgetelementBybfgetelementBybf}
Euler Finance’s efforts to recover nearly $200 million in stolen crypto hit yet another wrinkle Tuesday after a wallet linked to North Korean hackers tried to swindle the DeFi protocol’s exploiter.
The so-called “Ronin bridge exploiter,” which last March stole $625 million worth from crypto game Axie Infinity, sent an on-chain note to Euler’s exploiter asking it to decrypt an encrypted message. But according to experts CoinDesk spoke with, the message was a phishing scam attempting to steal the credentials for the Euler exploiter’s wallet.
The unlikely exchange from one crypto hacker to another spurred confusion on crypto Twitter and rang alarming bells at Euler Finance, which was already days into its own on-chain effort to recover the $200 million. Euler is a platform for borrowing and lending cryptocurrencies on the Ethereum blockchain.
The Lazarus Group is a hacker group allegedly tied to North Korea. Observers have accused Lazarus of mounting a multibillion-dollar campaign against the crypto world, the proceeds of which are said to fund North Korea’s weapons program.
Minutes after the Ronin hacker wallet messaged the Euler hacker wallet, developers at Euler Finance tried to intervene with messages of their own. They warned their own hacker to be wary of the purported decryption software, saying “the simplest way out here is to return funds.”
Euler developers continued in a separate transaction, “Do not try to view that message under any circumstance. Do not enter your private key anywhere. Reminder that your machine may be also compromised.”
Opinions
The Ronin hackers’ overtures may be a thinly veiled attempt to trick the Euler hacker into surrendering the private key – and thus the crypto – they stole from Euler Finance, said Hudson Jameson, a former developer at the Ethereum Foundation. But he said the motives behind the on-chain messages remain unclear.
“In my opinion, it is unknown why they are asking, but it definitely could be an attempt to see if the Euler hacker falls for a phishing attempt,” Jameson told CoinDesk.
Stephen Tong, co-founder of security audit firm Zellic.io, speculated Ronin’s purported encrypted message may well contain an “offer” for the Euler hacker, “but we can’t know for sure since we can’t decrypt the message without the private key.”
The on-chain drama comes as Euler Finance tries to mount its own negotiation via messages encoded on the Ethereum blockchain. It was Euler Finance’s pleas for the return of $200 million that the hacker responded to Tuesday:
“We want to make this easy on all those affected. No intention of keeping what is not ours,” the hacker wrote back to Euler Finance, seemingly ignoring the Ronin exploiter’s attempted phish. The message continued: “will communicate shortly.”
Read more: Euler Finance to Offer $1M Reward as It Reels From Nearly $200M Exploit
The Ronin Bridge exploiter and the Euler Finance exploiter both did not immediately return a request for comment.
Tuesday’s messages weren’t the first time the two exploiters crossed paths. On March 17, the Euler Finance exploiter sent 100 ether (ETH) to wallets connected to the Lazarus Group’s Ronin heist. It was unclear why.
The messages highlight how Ethereum can be a platform for the unlikeliest of conversations, said Jameson.
“As opposed to centralized systems that maintain control of the messaging, the Euler exploiter provides an example of new age communications and processes in response to a public smart contract exploit.”
// Run Ex.co Script and mid-article placement (function (d, s, n) { var js, fjs = d.getElementsByTagName(s)[0]; js = d.createElement(s); js.className = n; js.src = “//player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fjs.parentNode.insertBefore(js, fjs); }(document, ‘script’, ‘exco-player’)); // Ex.co placeholder div var element = document.getElementsByClassName(‘video-placeholder’)[0]; var excoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’; if (element && document.getElementById(‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’) == undefined) { element.append(excoDiv); }