Η εκμετάλλευση των 285 εκατομμυρίων δολαρίων αυτού του μήνα στο Drift, ένα αποκεντρωμένο ανταλλακτήριο (DEX), ήταν το μεγαλύτερο crypto hack σε διάστημα άνω του ενός έτους, όταν το ανταλλακτήριο Bybit έχασε 1,4 δισεκατομμύρια δολάρια. Οι χάκερ που υποστηρίζονται από το βορειοκορεατικό κράτος κατονομάστηκαν ως κύριοι ύποπτοι και στις δύο επιθέσεις.
Το περασμένο φθινόπωρο, οι επιτιθέμενοι παρουσιάστηκαν ως εταιρεία ποσοτικής διαπραγμάτευσης και προσέγγισαν προσωπικά την ομάδα πρωτοκόλλου του Drift σε ένα σημαντικό συνέδριο κρυπτονομισμάτων, ανέφερε το Drift σε ανάρτηση στο X την Κυριακή.
"Τώρα γίνεται κατανοητό ότι αυτό φαίνεται να είναι μια στοχευμένη προσέγγιση, όπου άτομα από αυτή την ομάδα συνέχισαν να αναζητούν και να εμπλέκουν σκόπιμα συγκεκριμένους συνεισφέροντες του Drift, προσωπικά, σε πολλαπλά σημαντικά συνέδρια του κλάδου σε πολλές χώρες κατά τη διάρκεια των επόμενων έξι μηνών", ανέφερε το DEX.
Μέχρι τώρα, οι βορειοκορεάτες κυβερνοκατάσκοποι έχουν στοχεύσει εταιρείες κρυπτονομισμάτων διαδικτυακά, μέσω εικονικών κλήσεων και απομακρυσμένης εργασίας. Μια προσωπική προσέγγιση σε ένα συνέδριο δεν θα προκαλούσε συνήθως υποψίες, αλλά η εκμετάλλευση του Drift θα πρέπει να είναι αρκετή για τους συμμετέχοντες να επανεξετάσουν τις επαφές που έγιναν σε πρόσφατες εκδηλώσεις.
Το hack μείωσε το TVL του Drift κατά περισσότερο από το ήμισυ σε περίπου 12 λεπτά. Πηγή: DefiLlama
Η Βόρεια Κορέα επεκτείνει το crypto playbook πέρα από τα hacks
Η εταιρεία blockchain forensics TRM Labs περιέγραψε το περιστατικό ως το μεγαλύτερο DeFi hack του 2026 (μέχρι στιγμής) και τη δεύτερη μεγαλύτερη εκμετάλλευση στην ιστορία του Solana, αμέσως μετά το hack της γέφυρας Wormhole των 326 εκατομμυρίων δολαρίων το 2022.
Η αρχική επαφή χρονολογείται περίπου έξι μήνες πριν, αλλά η ίδια η εκμετάλλευση ανάγεται στα μέσα Μαρτίου, σύμφωνα με το TRM. Ο επιτιθέμενος ξεκίνησε μετακινώντας κεφάλαια από το Tornado Cash και αναπτύσσοντας το CarbonVote Token (CVT), ενώ χρησιμοποιούσε social engineering για να πείσει τους υπογράφοντες multisig να εγκρίνουν συναλλαγές που παρείχαν αυξημένα δικαιώματα.
Στη συνέχεια, κατασκεύασαν αξιοπιστία για το CVT δημιουργώντας μια μεγάλη προσφορά και διογκώνοντας τη δραστηριότητα συναλλαγών για να προσομοιώσουν πραγματική ζήτηση. Τα oracles του Drift έλαβαν το σήμα και αντιμετώπισαν το token ως νόμιμο περιουσιακό στοιχείο.
Όταν οι προεγκεκριμένες συναλλαγές εκτελέστηκαν την 1η Απριλίου, το CVT έγινε αποδεκτό ως εγγύηση, τα όρια ανάληψης αυξήθηκαν και τα κεφάλαια αποσύρθηκαν σε πραγματικά περιουσιακά στοιχεία, συμπεριλαμβανομένου του USDC.
Το TRM περιγράφει τα κεφάλαια που μετακινούνται από το Tornado Cash τον Μάρτιο που χρησιμοποιήθηκαν για την προετοιμασία της εκμετάλλευσης του Drift. Πηγή: TRM Labs
Σχετικό: Βορειοκορεάτης κατάσκοπος κάνει λάθος, αποκαλύπτει δεσμούς σε πλαστή συνέντευξη εργασίας
Σύμφωνα με το TRM, η ταχύτητα και η επιθετικότητα της επακόλουθης ξέπλυσης ξεπέρασε αυτή που είδαμε στο hack του Bybit.
Η Βόρεια Κορέα πιστεύεται ευρέως ότι χρησιμοποιεί κλοπές κρυπτονομισμάτων μεγάλης κλίμακας όπως οι επιθέσεις Drift και Bybit παράλληλα με μακροπρόθεσμες τακτικές, συμπεριλαμβανομένης της τοποθέτησης πρακτόρων σε απομακρυσμένους ρόλους σε εταιρείες τεχνολογίας και κρυπτονομισμάτων για τη δημιουργία σταθερού εισοδήματος. Το Συμβούλιο Ασφαλείας των Ηνωμένων Εθνών έχει δηλώσει ότι τέτοια κεφάλαια χρησιμοποιούνται για την υποστήριξη του προγράμματος όπλων της χώρας.
Η ερευνήτρια ασφαλείας Taylor Monahan δήλωσε ότι η διείσδυση πρωτοκόλλων DeFi χρονολογείται από το "DeFi summer", προσθέτοντας ότι περίπου 40 πρωτόκολλα έχουν έρθει σε επαφή με ύποπτους πράκτορες της DPRK.
Τα βορειοκορεατικά κρατικά μέσα ενημέρωσης ανέφεραν την Πέμπτη ότι η χώρα δοκίμασε ένα ηλεκτρομαγνητικό όπλο και έναν βαλλιστικό πύραυλο μικρού βεληνεκούς, γνωστό ως Hwasong-11, εξοπλισμένο με κεφαλές πυρομαχικών διασποράς.
Εκτιμώμενες διαστάσεις για το KN-23, γνωστό και ως Hwasong-11A. Πηγή: Christian Maire, FRS
Το δίκτυο διείσδυσης τροφοδοτεί σταθερά έσοδα κρυπτονομισμάτων
Μια ξεχωριστή έρευνα αποκάλυψε πώς ένα δίκτυο εργαζομένων IT που συνδέονται με τη Βόρεια Κορέα παρήγαγε εκατομμύρια μέσω παρατεταμένης διείσδυσης.
Δεδομένα που λήφθηκαν από ανώνυμη πηγή που μοιράστηκε ο ZachXBT έδειξαν το δίκτυο να ποζάρει ως προγραμματιστές και να ενσωματώνονται σε εταιρείες κρυπτονομισμάτων και τεχνολογίας, παράγοντας περίπου 1 εκατομμύριο δολάρια τον μήνα και περισσότερα από 3,5 εκατομμύρια δολάρια από τον Νοέμβριο.
Η ομάδα εξασφάλισε θέσεις εργασίας χρησιμοποιώντας πλαστές ταυτότητες, διοχέτευσε πληρωμές μέσω ενός κοινόχρηστου συστήματος, στη συνέχεια μετέτρεψε κεφάλαια σε fiat και τα έστειλε σε κινεζικούς τραπεζικούς λογαριασμούς μέσω πλατφορμών όπως το Payoneer.
Ο εντοπισμός πορτοφολιού συνέδεσε μέρος της ροής με διευθύνσεις που συνδέονται με γνωστή δραστηριότητα της DPRK, δήλωσε ο blockchain sleuth. Πηγή: ZachXBT
Σχετικό: Είστε freelancer; Βορειοκορεάτες κατάσκοποι μπορεί να σας χρησιμοποιούν
Η επιχείρηση βασίστηκε σε βασική υποδομή, συμπεριλαμβανομένης μιας κοινόχρηστης ιστοσελίδας με κοινό κωδικό πρόσβασης και εσωτερικών leaderboards που παρακολουθούν τα κέρδη.
Οι πράκτορες υπέβαλαν αιτήσεις για θέσεις ανοιχτά χρησιμοποιώντας VPN και πλαστά έγγραφα, δείχνοντας μια μακροπρόθεσμη στρατηγική ενσωμάτωσης πρακτόρων για την εξαγωγή σταθερών εσόδων.
Οι άμυνες εξελίσσονται καθώς οι τακτικές διείσδυσης εξαπλώνονται
Το Cointelegraph συνάντησε ένα παρόμοιο σχέδιο σε μια έρευνα του 2025 με επικεφαλής τον Heiner García, ο οποίος πέρασε μήνες σε επαφή με έναν ύποπτο πράκτορα.
Το Cointelegraph αργότερα συμμετείχε στην πλαστή συνέντευξη του García με έναν ύποπτο που ονομαζόταν "Motoki", ο οποίος ισχυριζόταν ότι ήταν Ιάπωνας. Ο ύποπτος έφυγε οργισμένος από την κλήση αφού απέτυχε να συστηθεί στη δήθεν μητρική του διάλεκτο.
Η έρευνα διαπίστωσε ότι οι πράκτορες παρέκαμψαν τους γεωγραφικούς περιορισμούς χρησιμοποιώντας απομακρυσμένη πρόσβαση σε συσκευές που βρίσκονται φυσικά σε χώρες όπως οι ΗΠΑ. Αντί για VPN, λειτουργούσαν αυτές τις μηχανές απευθείας, κάνοντας τη δραστηριότητά τους να φαίνεται τοπική.
Μέχρι τώρα, οι headhunters τεχνολογίας έχουν συνειδητοποιήσει ότι το άτομο στην άλλη άκρη μιας εικονικής συνέντευξης εργασίας μπορεί πράγματι να είναι βορειοκορεάτης κυβερνοκατάσκοπος. Μια viral αμυντική στρατηγική είναι να ζητούν από τους υπόπτους να προσβάλουν τον Kim Jong Un. Μέχρι στιγμής, η τακτική έχει αποδειχθεί αποτελεσματική.
Ένας ύποπτος βορειοκορεάτης εργαζόμενος IT παγώνει όταν του ζητείται να αποκαλέσει τον Kim Jong Un "χοντρό, άσχημο γουρούνι". Πηγή: Tanuki42
Ωστόσο, καθώς το Drift προσεγγίστηκε προσωπικά και τα ευρήματα του García έδειξαν πράκτορες να βρίσκουν δημιουργικούς τρόπους παράκαμψης γεωγραφικών περιορισμών, οι βορειοκορεάτες δράστες έχουν συνεχίσει να προσαρμόζονται στη δυναμική γάτας-ποντικιού.
Το να ζητάς από τους συνεντευξιαζόμενους να αποκαλέσουν τον ανώτατο ηγέτη της Βόρειας Κορέας "χοντρό γουρούνι" είναι μια αποτελεσματική στρατηγική προς το παρόν, αλλά οι ερευνητές ασφαλείας προειδοποιούν ότι αυτό δεν θα λειτουργεί για πάντα.
Περιοδικό: Phantom Bitcoin checks, η Κίνα παρακολουθεί τον φόρο στο blockchain: Asia Express
- #Cryptocurrencies
- #Cybercrime
- #North Korea
- #DeFi
- #Features
- #Industry
