3,700만 달러 공격의 교훈: 우크라이나 결제 프로세서가 해킹된 방법

Lessons of a $37M Attack: How a Ukrainian Payment Processor Was Hacked

디파이 프로토콜을 악용하는 것은 암호화폐의 가장 인기 있는 범죄 유형이 된 지 오래된 반면, 전통적인 거래소 해킹은 훨씬 덜 빈번해졌습니다. 하지만 사이버 범죄자들은 오래된 디지털 강도에 대한 모든 흥미를 잃지 않았습니다.

최근 암호화폐 결제 프로세서 코인 페이드의 해킹은 세계에서 가장 부지런한 사이버 범죄 집단이 여전히 중앙 집중화된 개체에 침입하는 데 엄청난 자원을 기꺼이 사용한다는 것을 보여줍니다.

googletag.display js-dfp-tag-30o’; };

에스토니아에 등록된 우크라이나 회사 코인즈페이디드는 7월 22일 해킹을 당했다고 보고했으며, 암호화폐 손실은 3730만 달러로 추정됩니다. CEO Max Krupyshev에 따르면, 그 회사는 결국 고객들에게 자체 자금을 환불해 주었습니다. 이러한 고객에는 온라인 카지노가 포함될 가능성이 있으며, 블록체인 인텔리전스 그룹에 따르면 코인즈페이티드의 광범위한 사용자입니다.

코인스페이디드는 월요일 발간한 사건에 대한 상세한 설명에서 도둑들의 온체인 행동으로 볼 때 북한의 라자루스 그룹 또는 그 계열일 가능성이 매우 높다고 밝혔습니다. 블록체인 인텔리전스 그룹은 공격자들이 코인즈페이디드에서 돈을 빼돌리기 위해 지난 6월 발생한 원자 지갑 해킹으로 인한 또 다른 최근 공격에서 발견된 지갑을 사용했다고 밝혔습니다.

공격자들은 마침내 절도를 저지르기 전에 몇 달 동안 코인스페이디드를 목표로 하고 있었다고 코인스페이디드는 말했습니다. 블로그 포스트에 따르면 지난 3월 우크라이나 암호화폐 처리 스타트업 동료로 행세하는 누군가의 요청을 포함한 어업 및 사회공학 시도가 시작됐으며 코인스페이드 개발자들에게 회사의 기술 인프라에 대해 문의하고 있었습니다. 공격자들은 또한 코인즈페이드 직원들에게 뇌물을 주려고 시도했고 회사의 서버를 겨냥한 분산 서비스 거부(DDOS) 공격에 가담했습니다.

속기 쉬운 직원들을 위한 낚시

그런 다음 7월에 여러 직원이 거래소 Crypto.com 를 포함한 다른 암호화폐 회사의 채용 담당자로 가장한 링크드인 계정에서 수익성 좋은 일자리 제안을 받았습니다. “예를 들어, 우리 팀원들 중 일부는 한 달에 16,000-24,000 달러의 보상을 받는 일자리 제안을 받았습니다.”라고 블로그 게시물은 말했습니다.

가짜 채용 담당자들은 초기 연락을 취한 뒤 직원들에게 지난 7월에도 라자루스에 해킹당한 것으로 알려진 사용자 인증 플랫폼인 점프클라우드나 다른 소프트웨어를 설치해달라고 요청했습니다. 몇몇 직원들이 미끼를 물고 악성 소프트웨어를 설치했고, 그 후 공격자들은 코인즈페이디드의 인프라에 접근했습니다.

gogletag.cmd.push(함수()) { gogletag.display(‘js-dfp-tag-XJk’; };

파벨 카슈바 코인스페이드 최고재무책임자(CFO)는 코인데스크와의 인터뷰에서 “7월 21일 금요일 밤 공격자들이 코인스페이드의 블록체인 노드에 접속해 이더리움 블록체인에서 실행되는 트론 기반 USDT, 비트코인 및 여러 ERC20 토큰의 대량 인출을 요청했다”고 말했습니다. 공격의 활발한 단계는 약 4시간 23분이 걸렸다고 그는 말했습니다.

맥스 크루피셰프 CEO는 코인데스크에 “도둑들은 회사 서버에 무료로 접근할 수 있었지만 코인페이디드의 지갑에 대한 개인 키를 손상시키지 않았습니다.”라고 말했습니다 그는 회사가 같은 열쇠로 새 지갑을 분리했을 때 열쇠가 안전하다는 것을 확인하면서 그것들이 빠져나가지 않았다고 덧붙였습니다.

이것을 차단할 수 없습니다.

그 회사는 어쨌든 손해를 보았습니다. 크루피셰프는 “트론 블록체인에서 USDT 형태로 도난당한 자금 대부분이 크로스체인 브릿지를 통해 아발란치에서 USDT로 교환된 후 분산형 거래소인 스위프트스왑으로 전송됐다”고 말했습니다. 사후 블로그 게시물에 따르면 공격자들은 또한 분산형 거래소인 유니스왑과 선스왑을 사용했으며 중앙 집중형 거래소인 바이낸스, 후오비, 쿠코인, 바이비트, 비트겟, 멕시를 사용했습니다.

비트코인은 신드배드 믹서를 통해 세탁되었는데, 이 믹서는 블록체인 정보 회사인 엘립틱에 따르면 북한 해커들에게 가장 인기 있는 믹서입니다.

코인즈페이디드는 자금이 그곳으로 이동하는 것을 보자마자 중앙 집중화된 거래소에 통보했지만 범죄 관련 주소를 표시하고 거래소가 조치를 취하는 것은 몇 분 만에 현금화하는 해커들을 따라잡기에는 너무 느린 과정이라고 말했습니다.

googletag.cmd.push(함수(): {googlettag.display(‘js-dfp-tag-bbQ’); };

결론은 거래소가 디지털 위생과 직원에 대한 적절한 교육에 관심을 기울여야 한다는 것입니다. 그리고 그것은 모든 종류의 사이버 범죄에 적용됩니다.

// Ex.co 스크립트 및 중간 아티클 배치( 함수 (d, s, n) {varjs, fjs = d.getElementsByTagName(s)[0]; js = d.createElements(s), js.className = n; js.s.src = “/player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fj.parentNode.Inservo, ‘Ex.co’s’s’s’document’를 실행합니다.inser.inter, place;.getElementsByClassName(‘비디오 자리 표시자’)[0]; varexcoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-fa4f’fb’; if(video&document.getElementById){cf}, faf7f}, fafnff}, fafnedefnedefgetelementBybfgetelementBybf}

Exploiting DeFi protocols has long become crypto’s most popular type of crime, while traditional exchange hacks have become far less frequent. But cybercriminals haven’t lost all interest in the good old digital robbery.

The recent hack of a crypto payment processor CoinsPaid shows that the most industrious cybercriminal groups in the world are still willing to spend formidable resources on breaking into centralized entities.

googletag.cmd.push(function() { googletag.display(‘js-dfp-tag-30o’); });

CoinsPaid, a Ukrainian firm registered in Estonia, reported being hacked on July 22, with estimated crypto losses of $37.3 million. According to the CEO Max Krupyshev, the company ended up refunding clients from its own funds. Those customers likely include online casinos, which according to a Blockchain Intelligence Group, are widespread users of CoinsPaid.

In a detailed explanation of the incident published Monday, CoinsPaid said that, judging by the thieves’ on-chain behavior, they were very likely the North Korean Lazarus Group or affiliated with it. To siphon money out of CoinsPaid, the attackers used wallets that included the one spotted in another recent attack attributed to Lazarus – the Atomic Wallet hack in June, Blockchain Intelligence Group wrote.

The attackers had been targeting CoinsPaid for months before finally pulling off the theft, CoinsPaid said. Fishing and social engineering attempts started in March, including a request from someone posing as a fellow Ukrainian crypto processing startup, who was asking CoinsPaid developers about the firm’s technical infrastructure, the blog post said. The attackers also tried to bribe CoinsPaid staff and engaged in distributed denial-of-service (DDOS) attacks aimed at the company’s servers.

Fishing for the gullible employees

Then, in July, several employees received lucrative job offerings from LinkedIn accounts posing as recruiters from other crypto companies, including the exchange Crypto.com. “For instance, some of our team members received job offers with compensation ranging from 16,000-24,000 USD a month,” the blog post said.

After making an initial contact, the fake recruiters asked the employees to install JumpCloud, a platform for user authentication that was reportedly also hacked by Lazarus in July, or other software, presumably to perform a test task. Several employees took the bait and installed malicious software, after which the attackers got access to CoinsPaid’s infrastructure.

googletag.cmd.push(function() { googletag.display(‘js-dfp-tag-XJk’); });

During late-European hours on a Friday night on July 21, the attackers got access to CoinsPaid’s blockchain node and requested a large withdrawal of Tron-based USDT, bitcoin and several ERC20 tokens running on the Ethereum blockchain, Pavel Kashuba, CoinsPaid chief financial officer, told CoinDesk in an interview. The active phase of the attack took about four hours 23 minutes, he said.

While the thieves got free access to the company’s servers, they did not compromise the private keys for CoinsPaid’s wallets, CEO Max Krupyshev told CoinDesk: “As soon as we switched off our servers, the transfers stopped.” He added that, when the firm spun off new wallets with the same keys, those weren’t drained, confirming that the keys were safe.

Can’t block this

The firm lost money anyway. Most of the stolen funds, in a form of USDT on the Tron blockchain, were swapped for the USDT on Avalanche via cross-chain bridges and then sent to a decentralized exchange SwftSwap, Krupyshev said. Attackers also used decentralized exchanges Uniswap and SunSwap, as well as centralized exchanges Binance, Huobi, Kucoin, Bybit, Bitget and MEXC, according to the post-mortem blog post.

Bitcoin was laundered via the Sindbad mixer, which, according to the blockchain intel firm Elliptic, is the most popular mixer for North Korean hackers.

CoinsPaid said, although they notified the centralized exchanges as soon as they saw funds moving there, labeling crime-related addresses and taking action by exchanges is a process too slow to keep up with the hackers, who were cashing out in a matter of minutes.

googletag.cmd.push(function() { googletag.display(‘js-dfp-tag-bbQ’); });

Kashuba expressed frustration that law enforcement agencies go slowly in convincing exchanges to freeze criminal accounts. “You need to block the money but that money is already gone,” he said.

The bottom line is exchanges need to pay attention to digital hygiene and adequate training for the staff, Kashuba said. And that goes for all kinds of cybercrime.

// Run Ex.co Script and mid-article placement (function (d, s, n) { var js, fjs = d.getElementsByTagName(s)[0]; js = d.createElement(s); js.className = n; js.src = “//player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fjs.parentNode.insertBefore(js, fjs); }(document, ‘script’, ‘exco-player’)); // Ex.co placeholder div var element = document.getElementsByClassName(‘video-placeholder’)[0]; var excoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’; if (element && document.getElementById(‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’) == undefined) { element.append(excoDiv); }