Cyberangrep på CoinDCX
Cyberangrepet på den indiske kryptobørsen CoinDCX, som resulterte i et tap på $44,2 millioner, har blitt knyttet til den nordkoreanske Lazarus-gruppen. Dette ble rapportert av CryptoSlate, med henvisning til Deddy Lavid, administrerende direktør i Cyvers.
Angripernes Taktikk
Lavid bemerket at angriperne handlet i henhold til et mønster som ligner svært på tidligere operasjoner utført av nordkoreanske hackere. En av de karakteristiske trekkene ved deres taktikk er bruken av kryptomikseren Tornado Cash og krysskjede-broer for å skjule pengestrømmen.
Kompromittering av Konto
Den 19. juli rapporterte CoinDCX om kompromitteringen av en intern konto som ble brukt til å gi likviditet på en tredjeparts plattform. Lavid spekulerte i at angriperne fikk tilgang til backend via åpne API-nøkler, feilaktige systeminnstillinger eller sårbarheter i kontorettigheter.
Når de først var inne, brukte de legitime kontorettigheter til å overføre eiendeler fra Solana til Ethereum, og deretter hvitvasket de midlene gjennom Tornado Cash.
Sofistikert Angrep
Ifølge Lavid indikerer sofistikasjonen av angrepet og inngående kunnskap om likviditetsmekanismer på sentraliserte børser at høyt erfarne og godt organiserte cyberkriminelle var involvert.
CoinDCXs Respons
CoinDCXs medgründer, Sumit Gupta, bekreftet at brukernes eiendeler ikke ble påvirket av hackingen, og at selskapet allerede har dekket alle tap fra egne midler. Børsen har annonsert et belønningsprogram og tilbyr en belønning på 25 % for eventuelle gjenopprettede beløp.
«Mer enn å gjenopprette de stjålne midlene, er det viktig for oss å identifisere og fange angriperne, fordi slike hendelser ikke bør skje igjen, verken med oss eller med noen i bransjen,» understreket Gupta.
