Venus Protocol, платформа децентралізованого фінансового кредитування, успішно відновила $13.5 мільйона у криптовалюті, викраденої у користувача через складну фішингову атаку, приписувану групі Лазаря з Північної Кореї. Відновлення відбулося протягом 12 годин після інциденту у вівторок завдяки скоординованим екстреним протоколам та втручанню партнерів з безпеки.
Що потрібно знати:
- Протокол Venus призупинив усю платформу після того, як партнери з безпеки виявили підозрілу активність через кілька хвилин після фішингової атаки.
- Нападники використовували шкідливий клієнт Zoom, щоб обманом змусити жертву Куана Сана надати контроль над обліковим записом, що дозволило несанкціоноване позичання та викуп.
- Надзвичайне голосування з управлінням дозволило примусову ліквідацію гаманця нападника, перенаправивши викрадені токени на адресу відновлення.
Швидка реакція запобігає повній втраті
Атака почалася, коли зловмисники ввели в обман жертву через компрометовану програму Zoom. Це шкідливе програмне забезпечення надало нападникам делегований контроль над обліковим записом користувача на платформі Venus Protocol.
Фірми з безпеки HExagate і Hypernative ідентифікували підозрілі патерни транзакцій протягом кількох хвилин після виконання. Їх швидке виявлення спровокувало рішення Venus Protocol негайно призупинити операції платформи як запобіжний захід. Зупинка запобігла додатковому переміщенню коштів під час аналізу зламу слідчими.
Venus Protocol підтвердив, що як їхні смарт-контракти, так і інтерфейс користувача залишалися безпечними протягом інциденту. Основна інфраструктура платформи не показала жодних ознак компромісу під час проведених після атаки аудиторських перевірок.
Надзвичайне управління дозволяє відновлення
Адміністратори платформи ініціювали надзвичайне голосування щодо управління для розв'язання кризи. Цей демократичний процес дозволив Venus Protocol авторизувати примусову ліквідацію цифрового гаманця нападника. Надзвичайний захід дозволив командам відновлення захопити викрадені активи та перенаправити їх на безпечну адресу відновлення.
Жертва Куан Сан висловив подяку за скоординовані зусилля з реагування.
"Що могло бути повною катастрофою, перетворилося на бій, який ми дійсно виграли, завдяки неймовірній групі команд," заявив Сан у публічних коментарях після відновлення.
До успішного результату доклалися численні організації. PeckShield, Binance і SlowMist надали додаткову технічну допомогу під час процесу відновлення. Їх комбінація експертизи виявилася вирішальною для відстеження та повернення вкрадених криптовалютних активів.
Розуміння методу атаки
Схема фішингу спиралася на тактику соціальної інженерії, а не на технічні вразливості в системах Venus Protocol. Нападники переконали Сана завантажити та встановити модифіковану версію популярного програмного забезпечення для відеоконференцій Zoom.
Це шкідливе додаток містило прихований код, що надав несанкціонований доступ до криптовалютних облікових записів Сана. Після встановлення, скомпрометоване програмне забезпечення дозволило зловмисникам виконувати транзакції від імені Сана без прямого дозволу. Зловмисники тоді систематично вивели зберігані стабільних монет та загорнуті активи з рахунків жертви.
Судова експертиза SlowMist пізніше підтвердила зв'язок атаки з групою Лазаря. Дослідження кібербезпекової фірми розкрило тактичні підписи, що відповідають попереднім операціям Північної Кореї. "SlowMist провела широкий аналіз і була серед перших, хто вказав, що за цією атакою стоїть Лазарь," визнав Сан.
Кримінальне портфоліо групи Лазарь
Група Лазарь діє як державне хакерське колектив під розвідкою Північної Кореї. Міжнародні агенції безпеки приписують численні відомі крадіжки криптовалют цій організації упродовж останніх років.
Попередні операції групи Лазарь включають експлойт на мості Ronin на $600 мільйонів і злом біржі Bybit на $1.5 мільярда. Ці інциденти представляють одні з найбільших крадіжок криптовалют в історії індустрії. Складні методи групи та державна підтримка роблять їх постійною загрозою для платформ цифрових активів у всьому світі.
Експерти з безпеки зазначають, що північнокорейські хакери часто цілеспрямовано націлюються на криптовалютні платформи, намагаючись обійти міжнародні економічні санкції. Викрадені цифрові активи забезпечують ізольовану державу твердою валютою для різних державних заходів.
Ключові терміни пояснено
Децентралізовані фінансові платформи, як Venus Protocol, працюють без традиційних банківських посередників. Користувачі взаємодіють безпосередньо зі смарт-контрактами — автоматизованими програмами, які виконують транзакції при виконанні певних умов. Ці платформи зазвичай пропонують кредитування, позики та послуги з торгівлі через блокчейн-технології.
Стабільні монети - це криптовалюти, призначені для збереження постійних значень відносно референційних активів, як наприклад, американський долар.
Загорнуті активи являють собою традиційні криптовалюти, такі як Біткойн, які були перетворені для використання на різних блокчейнових мережах. Обидва типи активів були помітно виділені в цій спробі крадіжки.
Надзвичайні голосування з управлінням дозволяють користувачам платформ і зацікавленим сторонам приймати швидкі рішення в кризових ситуаціях. Цей демократичний механізм дозволяє швидко реагувати на загрози безпеці без очікування на стандартні періоди голосування.
Заключні думки
Інцидент з Venus Protocol демонструє як вразливості, так і захисні можливості децентралізованих фінансових систем. Хоча складні нападники успішно виконали свою початкову фішингову схему, швидке виявлення та скоординовані зусилля з реагування запобігли постійним втратам. 12-годинний графік відновлення встановлює позитивний прецедент для майбутніх інцидентів з безпекою у сфері криптовалют.