บริษัทรักษาความปลอดภัยบล็อกเชน Cyvers ระบุว่า การโจรกรรมมูลค่า 44 ล้านดอลลาร์สหรัฐที่มุ่งเป้าไปที่แพลตฟอร์มซื้อขายคริปโตเคอร์เรนซี CoinDCX ซึ่งตั้งอยู่ในอินเดีย มีความเชื่อมโยงกับ Lazarus Group จากเกาหลีเหนือ
Deddy Lavid ซีอีโอของ Cyvers กล่าวในแถลงการณ์เมื่อวันที่ 21 กรกฎาคม ที่เผยแพร่แก่ CryptoSlate ว่า ผู้โจมตีใช้รูปแบบการโจมตีที่คล้ายคลึงกับการปฏิบัติการก่อนหน้านี้ของ Lazarus Group กลยุทธ์ที่ใช้ ได้แก่ การใช้ cross-chain bridge และ Tornado Cash เพื่อปกปิดการเคลื่อนย้ายเงิน ซึ่งเป็นเครื่องหมายการค้าของกลุ่มแฮ็กเกอร์ชื่อกระฉ่อน
Lavid ยังกล่าวเสริมว่า การโจมตีแพลตฟอร์มซื้อขายแบบรวมศูนย์ และความเข้าใจที่แม่นยำเกี่ยวกับการจัดหาสภาพคล่อง บ่งชี้อย่างยิ่งถึงการมีส่วนร่วมของผู้กระทำผิดที่มีประสบการณ์และมีการประสานงานในระดับสูง
เมื่อวันที่ 19 กรกฎาคม แพลตฟอร์มซื้อขายคริปโตเคอร์เรนซีในอินเดียรายงานว่าถูกโจมตีหลังจากที่ผู้โจมตีเข้าถึงบัญชีภายในที่ใช้สำหรับการจัดหาสภาพคล่องร่วมกับแพลตฟอร์มอื่นโดยไม่ได้รับอนุญาต
Lavid อธิบายรายละเอียดเกี่ยวกับวิธีการโจมตี โดยชี้ให้เห็นว่าแฮ็กเกอร์น่าจะเข้าถึงระบบหลังบ้านผ่าน API keys ที่ถูกเปิดเผย การตั้งค่าระบบที่ไม่ถูกต้อง หรือข้อมูลประจำตัวที่มีสิทธิ์มากเกินไป เมื่อเข้าไปข้างในได้แล้ว พวกเขาก็ใช้สิทธิ์ของบัญชีที่ถูกต้องเพื่อย้ายสินทรัพย์จาก Solana ไปยัง Ethereum ก่อนที่จะฟอกเงินผ่าน Tornado Cash เขาเสริมว่า “แม้ว่าบัญชีที่ถูกบุกรุกจะถูกแยกออกจากกระเป๋าเงินของผู้ใช้ แต่สิทธิ์ในการดำเนินงานก็เพียงพอที่จะดำเนินการเคลื่อนย้ายเงินจำนวนมากโดยไม่ก่อให้เกิดสัญญาณเตือนในทันที”
ขณะเดียวกัน ความซับซ้อนของการโจมตีก็มีลักษณะเด่นของกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งยังคงครองวงการด้วยการโจมตีอุตสาหกรรมเกิดใหม่อย่างไม่หยุดหย่อน เป็นที่น่าสังเกตว่ากลุ่มนี้ขโมยเงินไปมากกว่า 1.6 พันล้านดอลลาร์สหรัฐในช่วงครึ่งแรกของปี และเป็นผู้รับผิดชอบต่อการแฮ็ก Bybit
ข้อเสนอเงินรางวัล
เพื่อตอบสนองต่อการโจมตี CoinDCX ได้เปิดตัวโครงการเงินรางวัลเมื่อวันที่ 21 กรกฎาคม โดยเสนอรางวัลสูงถึง 25% ของเงินที่กู้คืนได้ หากการกู้คืนประสบความสำเร็จ รางวัลอาจสูงถึง 11 ล้านดอลลาร์สหรัฐ
Sumit Gupta ซีอีโอของ CoinDCX กล่าวว่าโครงการนี้มีจุดมุ่งหมายเพื่อกระตุ้นให้แฮ็กเกอร์หมวกขาว นักวิจัย และบริษัทบล็อกเชน ช่วยในการติดตามและกู้คืนทรัพย์สินที่ถูกขโมยไป เขากล่าวว่า “สิ่งที่สำคัญสำหรับเรามากกว่าการกู้คืนเงินที่ถูกขโมยไปคือการระบุตัวและจับกุมผู้โจมตี เพราะสิ่งเหล่านี้ไม่ควรเกิดขึ้นอีก ไม่ใช่กับเรา และไม่ใช่กับใครก็ตามในอุตสาหกรรมนี้”
ขณะเดียวกัน Gupta ยังเน้นย้ำว่าบริษัทกำลังชดเชยความสูญเสียผ่านคลังของบริษัท และย้ำว่าเงินทุนของผู้ใช้ไม่ได้รับผลกระทบ