Venus Protocol, zdecentralizowana platforma pożyczkowa w finansach, z powodzeniem odzyskała 13,5 miliona dolarów w kryptowalutach skradzionych użytkownikowi przez zaawansowany atak phishingowy przypisywany Grupie Lazarus z Korei Północnej. Odzyskanie miało miejsce w ciągu 12 godzin od wtorkowego incydentu dzięki skoordynowanym protokołom awaryjnym i interwencji partnerów ds. bezpieczeństwa.
Co warto wiedzieć:
- Venus Protocol wstrzymał całą swoją platformę, gdy partnerzy ds. bezpieczeństwa wykryli podejrzaną aktywność w ciągu kilku minut od ataku phishingowego
- Atakujący wykorzystali złośliwego klienta Zoom, aby podstępem nakłonić ofiarę, Kuan Sun, do przyznania kontroli nad kontem, umożliwiając nieautoryzowane pożyczki i umorzenia
- Głosowanie nad awaryjnym zarządzaniem pozwoliło na przymusową likwidację portfela napastnika, wysyłając skradzione tokeny na adres odzyskiwania
Szybka reakcja zapobiega całkowitej stracie
Atak rozpoczął się, gdy sprawcy oszukali ofiarę przy użyciu skompromitowanej aplikacji Zoom. To złośliwe oprogramowanie przyznało atakującym delegowaną kontrolę nad kontem użytkownika na platformie Venus Protocol.
Firmy ds. bezpieczeństwa HExagate i Hypernative zidentyfikowały podejrzane wzorce transakcji w ciągu kilku minut od ich wykonania. Ich szybkie wykrycie doprowadziło do decyzji Venus Protocol o natychmiastowym wstrzymaniu działania platformy jako środka ostrożności. Zatrzymanie uniemożliwiło dalsze przemieszczanie środków podczas analizowania naruszenia przez badaczy.
Venus Protocol potwierdził, że zarówno jego inteligentne kontrakty, jak i interfejs użytkownika pozostały bezpieczne przez cały incydent. Podstawowa infrastruktura platformy nie wykazywała oznak naruszenia podczas audytów bezpieczeństwa przeprowadzonych po ataku.
Awaryjne zarządzanie umożliwia odzyskanie
Administratorzy platformy zainicjowali głosowanie nad awaryjnym zarządzaniem w celu zaradzenia kryzysowi. Ten demokratyczny proces pozwolił Venus Protocol autoryzować przymusową likwidację cyfrowego portfela napastnika. Awaryjny środek umożliwił zespołom odzyskiwania przejęcie skradzionych zasobów i przekierowanie ich na bezpieczny adres odzyskiwania.
Ofiara Kuan Sun wyraziła wdzięczność za skoordynowane działania na rzecz odpowiedzi.
„To, co mogło być całkowitą katastrofą, stało się bitwą, którą udało nam się wygrać, dzięki niesamowitej grupie zespołów” - powiedział Sun w publicznych komentarzach po odzyskaniu.
W sukcesie brało udział wiele organizacji. PeckShield, Binance i SlowMist dostarczyły dodatkową pomoc techniczną podczas procesu odzyskiwania. Ich wspólna ekspertyza okazała się kluczowa w śledzeniu i odzyskiwaniu skradzionych aktywów kryptowalutowych.
Zrozumienie metody ataku
Schemat phishingowy opierał się na taktykach inżynierii społecznej, a nie na technicznych lukach w systemach Venus Protocol. Atakujący przekonali Sun do pobrania i zainstalowania zmodyfikowanej wersji popularnego oprogramowania Zoom do wideokonferencji.
To złośliwe aplikacja zawierała ukryty kod, który dawał nieautoryzowany dostęp do kont kryptowalutowych Sun. Po zainstalowaniu, skompromitowane oprogramowanie pozwalało atakującym wykonywać transakcje w imieniu Sun bez bezpośredniego upoważnienia. Sprawcy następnie systematycznie osuszali stablecoiny i owinięte aktywa z zasobów ofiary.
Analiza kryminalistyczna SlowMist później potwierdziła związek ataku z Grupą Lazarus. Śledztwo firmy ds. cyberbezpieczeństwa ujawniło taktyczne sygnatury zgodne z wcześniejszymi operacjami Korei Północnej. „SlowMist przeprowadził rozległą pracę analityczną i jako jedni z pierwszych wskazali, że Lazarus stoi za tym atakiem” - przyznał Sun.
Portfel kryminalny Grupy Lazarus
Grupa Lazarus działa jako wspierające przez państwo kolektyw hakerski pod aparatem wywiadowczym Korei Północnej. Międzynarodowe agencje bezpieczeństwa przypisały tej organizacji liczne kradzieże kryptowalut o wysokim profilu w ostatnich latach.
Poprzednie operacje Grupy Lazarus obejmują exploit mostu Ronin o wartości 600 milionów dolarów oraz hack giełdy Bybit o wartości 1,5 miliarda dolarów. Te incydenty stanowią jedne z największych kradzieży kryptowalut w historii branży. Wyrafinowane metody grupy i wsparcie państwowe czynią je trwałym zagrożeniem dla platform aktywów cyfrowych na całym świecie.
Eksperci ds. bezpieczeństwa zauważają, że północnokoreańscy hakerzy często celują w platformy kryptowalutowe, aby obejść międzynarodowe sankcje gospodarcze. Skradzione aktywa cyfrowe dostarczają izolowanemu krajowi twardej waluty na różne działania państwowe.
Wyjaśnienie kluczowych terminów
Zdecentralizowane platformy finansowe, takie jak Venus Protocol, działają bez tradycyjnych pośredników bankowych. Użytkownicy kontaktują się bezpośrednio z inteligentnymi kontraktami — zautomatyzowanymi programami, które realizują transakcje, gdy spełnione są określone warunki. Te platformy zazwyczaj oferują usługi pożyczkowe, pożyczkowe i handlowe za pośrednictwem technologii blockchain.
Stablecoiny to kryptowaluty zaprojektowane w celu utrzymania stabilnych wartości w porównaniu do aktywów referencyjnych, takich jak dolar amerykański.
Owinięte aktywa to tradycyjne kryptowaluty, takie jak Bitcoin, które zostały przekształcone do użytku w różnych sieciach blockchain. Oba rodzaje aktywów odegrały kluczową rolę w tej próbie kradzieży.
Głosowania nad awaryjnym zarządzaniem umożliwiają użytkownikom platformy i interesariuszom podejmowanie szybkich decyzji w sytuacjach kryzysowych. Ten demokratyczny mechanizm umożliwia szybkie reakcje na zagrożenia bezpieczeństwa bez czekania na standardowe okresy głosowania.
Myśli końcowe
Incydent z Venus Protocol montre vulnérabilités et capacités de protection dans les systèmes financiers décentralisés. Bien que des attaquants sophistiqués aient réussi à exécuter leur premier schéma de phishing, la détection rapide et les efforts de réponse coordonnés ont empêché les pertes permanentes. Le délai de récupération de 12 heures établit un précédent positif pour les incidents de sécurité futurs dans le domaine des cryptomonnaies.