Selle kuu $285 miljoni dollari suurune rünnak decentraliseeritud börsile (DEX) Drift oli üle aasta suurim krüptorünnak pärast seda, kui börs Bybit kaotas $1,4 miljardit dollarit. Mõlemas rünnakus peamisteks kahtlusalusteks nimetati Põhja-Korea riiklikult toetatud hakerid.
Drift teatas pühapäeval X-is postituses, et möödunud sügisel tegutsesid ründajad kvantitatiivse kauplemisfirma nime all ja lähenesid Drifti protokolli meeskonnale isiklikult suures krüptorahavaldkonna konverentsil.
„Nüüd on selgunud, et tegu oli sihitud rünnakuga, kus selle grupi liikmed jätkasid järgnevat kuus kuud mitmes riigis toimunud suurtes tööstuskonverentsides Drifti kaasatud isikute sihitud otsingut ja isiklikku kontakti,” ütles DEX.
Senini on Põhja-Korea küberväed sihitanud krüptofirmasid veebis – virtuaalsete kõnede ja kaugtöö kaudu. Konverentsil isiklik lähenemine ei põhjusta tavaliselt kahtlust, kuid Drifti rünnak peaks osalejaid veenma üle vaatama hiljutiste ürituste ajal loodud kontaktid.
Rünnak vähendas Drifti TVL-d umbes 12 minutiga rohkem kui poole võrra. Allikas: DefiLlama
Põhja-Korea laiendab krüptomängukava rünnakutest kaugemale
Blockchain-i forensikaettevõte TRM Labs kirjeldas juhtumit kui 2026. aasta (seni) suurimat DeFi-rünnakut ja Solana ajaloo teist suurimat rünnakut – 2022. aasta $326 miljoni dollari suuruse Wormhole’i sildi rünnaku järel.
Algne kontakt pärineb umbes kuus kuud tagasi, kuid ise rünnak põhines TRM andmetel keskmisel märtsis. Ründaja alustas Tornado Cash’ist rahade liigutamisega ja CarbonVote Tokeni (CVT) kasutuselevõtuga ning kasutas sotsiaalset insenerit, et veenda multisig-allkirjastajaid tehingute heakskiitmises, mis andsid talle täiendavaid õigusi.
Seejärel loodi CVT-le usaldusväärsus, valmistades suurte kogustega tokenit ja kunstlikult suurendades kauplemistegevust, et simuleerida tõelist nõudlust. Drifti oraklid tuvastasid signaali ja pidasid tokenit õiguspäraseks varaks.
Aprilli 1. kuupäeval täidetud eelnevalt heakskiidetud tehingute käigus võeti CVT vastu kui tagatis, tõsteti väljamaksepiire ja tõmmati välja reaalvarasid, sealhulgas USDC.
TRM näitab märtsis Tornado Cash’ist liigutatud rahasid, mida kasutati Drifti rünnaku ettevalmistamiseks. Allikas: TRM Labs
Seotud: Põhja-Korea spioon eksis ja paljastas oma sidemed vale tööintervjuu ajal
TRM andmetel ületas järgneva rahapese kiirus ja agressiivsus Bybiti rünnakul nähtud taset.
Ülemaailmselt usutakse, et Põhja-Korea kasutab Drifti ja Bybiti rünnakutega sarnaseid suurtükke krüptoraha varastamisi koos pikemaajalistega taktikatega – näiteks tehnoloogia- ja krüptofirmadesse kaugtöökohtadele asetamise kaudu stabiilse tulu saamiseks. ÜRO Julgeolekunõukogu on öelnud, et selliseid rahavoodeid kasutatakse riigi relvaprogrammi toetamiseks.
Turvalisusuuringute teadlane Taylor Monahan ütles, et DeFi-protokollide infiltratsioon ulatub tagasi „DeFi suve“ ajast, lisades, et umbes 40 protokolli on olnud kontaktis kahtlustatavate Põhja-Korea DV (DPRK) operatiivagentidega.
Põhja-Korea riiklikud meediaorganid teatasid neljapäeval riigi elektromagnetilise relva ja lühima lennukaugusega ballistilise raketi Hwasong-11 testidest, millele olid paigaldatud klasterpommid.
Kitsendatud KN-23 (tuntud ka kui Hwasong-11A) mõõtmed. Allikas: Christian Maire, FRS
Infiltratsioonivõrk tagab stabiilse krüptotulu
Eraldi uurimus avas, kuidas Põhja-Koreaga seotud IT-töötajate võrk genereeris miljoneid dollarit pikaajaliselt infiltratsioonil.
ZachXBT poolt anonüümse allika kaudu saadud andmed näitasid, et see võrk esitles end arendajatena ja tungis läbi krüpto- ja tehnoloogiafirmade, teenides ligikaudu $1 miljonit kuus ja kokku üle $3,5 miljoni novembrist saadik.
Grupp saavutas töökohad võltsitud identiteetide abil, suunas maksed ühisest süsteemist läbi, teisendas rahad fiatvaluutaks ja saatis need Payoneeri nagu platvormide kaudu Hiina pangakontodele.
Portfellitrassimine seostas osa voolust aadressidega, mis on seotud teadaoleva DPRK tegevusega, ütles blockchain-i detektiiv. Allikas: ZachXBT
Seotud: Oled sa freelancery? Põhja-Korea spioonid võivad sind kasutada
Tegevus toimus lihtsa infrastruktuuri abil, sealhulgas ühisvõrgulehega, millele kasutati ühist parooli ja sisemisi edetabeleid, kus jälgiti teenitud summasid.
Agentid taotlesid ametikohti VPN-ide ja võltsitud dokumentide abil silma paistvalt, viidates pikemaajalisemale strateegiale, mille eesmärk on operaatorite püsivasse organisatsiooni sissepaigutamine tulu regulaarseks saamiseks.
Kaitsevõimalused muutuvad koos infiltratsioonitaktikatega
Cointelegraph kohtus sarnase skeemaga 2025. aasta uurimuses, mille juhtis Heiner García, kes veetis kuuvee aega kahtlase operatiivagentiga suhtlemist.
Hiljem osales Cointelegraph García fiktiivses intervjuus kahtlase isikuga, kes nimetas end „Motoki“ks ja väitis olevat jaapanlane. Kahtlane isik lahkus kõnest ära pärast seda, kui ei suutnud ennast oma väidetavas emakeeles tutvustada.
Uurimus leidis, et operatiivagentid ületasid geograafilisi piiranguid kasutades kaugligipääsu seadmetele, mis asusid füüsiliselt riikides nagu USA. Nad ei kasutanud VPN-sid, vaid juhtisid neid masinaid otse, tehes oma tegevuse kohalikuks näivaks.
Nüüd on tehnoloogia headhuntersid juba aru saanud, et virtuaalse tööintervjuu teisel poolel võib tegelikult olla Põhja-Korea küberväe spioon. Ühe leviva kaitsestrateegia on paluda kahtlusalustel Kim Jong Unile solvavaid väljendeid kasutada. Seni on see meetod olnud tõhus.
Kahtlusväärne Põhja-Korea IT-töötaja külmutab, kui talle palutakse nimetada Kim Jong Uni „paksuks, üleliialiselt ebakujuliseks seaks“. Allikas: Tanuki42
Kuid kuna Drifti meeskondale läheneti isiklikult ja García uurimus näitas, et operatiivagentid leiavad loovaid viise geograafiliste piirangute ületamiseks, on Põhja-Korea tegelased jätkuvalt kohastumas kass-ja-hiir-mängu dünaamikasse.
Paluda intervjuu osalejatel nimetada Põhja-Korea ülemaitsejuhti „paksu seaks“ on seni tõhus strateegia, kuid turvalisusuuringute teadlased hoiatavad, et see ei toimi igavesti.
Magazine: Fantaasia Bitcoin-kontrollid, Hiina jälgib maksusid blockchainil: Aasia Express
- #Krüptovaluutad
- #Kübertegevus
- #Põhja-Korea
- #DeFi
- #Features
- #Tööstus
