Venus Protocol, децентрализованная платформа кредитования в сфере финансов, успешно восстановила $13,5 млн в криптовалюте, украденной у пользователя через сложную фишинговую атаку, связанную с группой Lazarus из Северной Кореи. Восстановление произошло в течение 12 часов после инцидента во вторник благодаря скоординированным аварийным протоколам и вмешательству партнеров по безопасности.
Что следует знать:
- Венус Протокол приостановил всю платформу после того, как партнеры по безопасности выявили подозрительную активность сразу после фишинговой атаки
- Атакующие использовали вредоносный клиент Zoom, чтобы обмануть жертву, Куана Суна, заставив передать контроль над аккаунтом, что позволило совершать несанкционированные займы и выкупы
- Чрезвычайное голосование по управлению позволило вынужденную ликвидацию кошелька атакующего, отправляя украденные токены на адрес восстановления
Быстрый ответ предотвращает полную потерю
Атака началась, когда злоумышленники обманули жертву через скомпрометированное приложение Zoom. Это вредоносное ПО предоставило атакующим делегированный контроль над аккаунтом пользователя на платформе Venus Protocol.
Компании по безопасности HExagate и Hypernative идентифицировали подозрительные шаблоны транзакций в течение нескольких минут после выполнения. Их быстрая реакция вызвала решение Venus Protocol немедленно приостановить операции платформы в качестве меры предосторожности. Остановка предотвратила дальнейшее движение средств, в то время как исследователи анализировали нарушение.
Венус Протокол подтвердил, что и его смарт-контракты, и пользовательский интерфейс оставались безопасными в течение всего инцидента. Основная инфраструктура платформы не показала признаков компрометации в ходе аудитов безопасности, проведенных после атаки.
Чрезвычайное управление позволяет восстановление
Администраторы платформы инициировали чрезвычайное голосование по управлению для решения кризиса. Этот демократический процесс позволил Венус Протоколу санкционировать принудительную ликвидацию цифрового кошелька атакующего. Эта чрезвычайная мера позволила командам по восстановлению захватить украденные активы и перенаправить их на безопасный адрес восстановления.
Жертва Куан Сун выразил благодарность за скоординированные усилия по ответу.
"То, что могло бы стать полной катастрофой, превратилось в битву, которую мы фактически выиграли, благодаря невероятной группе команд," заявил Сун в публичных комментариях после восстановления.
Несколько организаций внесли вклад в успешный результат. PeckShield, Binance и SlowMist предоставили дополнительную техническую помощь в процессе восстановления. Их объединенный опыт оказался решающим в отслеживании и возвращении украденных криптовалютных активов.
Понимание метода атаки
Схема фишинга полагалась на тактики социальной инженерии, а не на технические уязвимости в системах Венус Протокола. Атакующие убедили Суна загрузить и установить модифицированную версию популярного программного обеспечения для видеоконференций Zoom.
Это вредоносное приложение содержало скрытый код, предоставляющий несанкционированный доступ к криптовалютным аккаунтам Суна. После установки скомпрометированное ПО позволило атакующим выполнять транзакции от имени Суна без прямого разрешения. Затем преступники систематически сливали стейблкоины и обернутые активы с владений жертвы.
Судебный анализ SlowMist впоследствии подтвердил связь атаки с группой Lazarus. Расследование фирмы по кибербезопасности выявило тактические подписи, соответствующие предыдущим операциям Северной Кореи. "SlowMist провели обширную аналитическую работу и были одними из первых, кто указал, что за этой атакой стоит Lazarus," отметил Сун.
Преступное портфолио группы Lazarus
Группа Lazarus работает как государственно-спонсируемая хакерская группа под управлением разведывательных служб Северной Кореи. Международные агентства безопасности приписали этой организации множество крупных краж криптовалюты за последние несколько лет.
Предыдущие операции группы Lazarus включают в себя взлом моста Ronin на $600 млн и взлом биржи Bybit на $1,5 млрд. Эти инциденты представляют собой некоторые из крупнейших краж криптовалюты в истории отрасли. Сложные методы и государственная поддержка делают их постоянной угрозой для платформ цифровых активов по всему миру.
Эксперты по безопасности отмечают, что северокорейские хакеры часто нацеливаются на криптовалютные платформы, чтобы обойти международные экономические санкции. Украденные цифровые активы обеспечивают изолированную нацию твёрдой валютой для различных государственных нужд.
Объяснение ключевых терминов
Платформы децентрализованных финансов, такие как Venus Protocol, работают без традиционных банковских посредников. Пользователи взаимодействуют непосредственно с смарт-контрактами — автоматизированными программами, выполняющими транзакции при соблюдении определённых условий. Эти платформы обычно предлагают услуги по кредитованию, заимствованию и торговле с использованием блокчейн-технологий.
Стейблкоины — это криптовалюты, созданные для поддержания стабильных значений относительно контрольных активов, таких как доллар США.
Обернутые активы представляют собой традиционные криптовалюты, такие как Bitcoin, которые были конвертированы для использования на разных блокчейн-сетях. Оба типа активов играли заметную роль в этой попытке кражи.
Чрезвычайные голосования по управлению позволяют пользователям и заинтересованным лицам платформы принимать быстрые решения в кризисных ситуациях. Этот демократический механизм позволяет быстро реагировать на угрозы безопасности без ожидания стандартных периодов голосования.
Заключительные мысли
Инцидент с Venus Protocol демонстрирует как уязвимости, так и защитные возможности в системах децентрализованных финансов. В то время как сложные атакующие успешно провели свою начальную фишинговую схему, быстрое выявление и скоординированные ответные усилия предотвратили постоянные потери. Временной интервал восстановления в 12 часов создает положительный прецедент для будущих инцидентов безопасности в криптовалютной сфере.