Báo cáo tiết lộ vụ trộm tiền điện tử trị giá 235 triệu đô la từ WazirX đã được thực hiện bởi tin tặc Triều Tiên

Là một nhà phân tích an ninh mạng dày dạn kinh nghiệm với hơn một thập kỷ điều tra và phân tích các vi phạm kỹ thuật số, tôi nhận thấy vụ hack WazirX là một sự kiện quan trọng làm nổi bật các chiến thuật ngày càng phát triển mà tội phạm mạng sử dụng, đặc biệt là những tội phạm có liên quan đến Triều Tiên.

Tài sản kỹ thuật số trị giá khoảng 235 triệu USD được cho là đã bị đánh cắp từ nền tảng tiền điện tử WazirX của Ấn Độ sau một cuộc tấn công mạng lớn diễn ra vào khoảng sáng thứ Năm.

Dựa trên bài đăng gần đây của công ty trên X, có vẻ như ví đa chữ ký của họ là tâm điểm của một cuộc xâm nhập bảo mật, dẫn đến tổn thất tiền đáng kể.

Theo phân tích mới nhất của Elliptic, hành vi trộm cắp Blockchain có thể bắt nguồn từ các tin tặc bị nghi ngờ có quan hệ với Triều Tiên. Kết nối này đã được ZachXBT hỗ trợ thêm trong bài đăng gần đây của anh ấy trên X, cho thấy rằng “vụ hack WazirX” ​​có những điểm tương đồng với các cuộc tấn công trước đây do Nhóm Lazarus thực hiện.

Theo phát hiện của Elliptic, vụ việc này được xếp hạng trong số những vụ trộm tiền điện tử quan trọng nhất có liên quan đến quốc gia này. Báo cáo nhấn mạnh rằng đây không phải là trường hợp cá biệt; thay vào đó, nó thể hiện sự tiếp tục nhắm mục tiêu của các nhóm mạng Bắc Triều Tiên vào những người chơi chính trong lĩnh vực tiền điện tử.

Đáng chú ý, phần lớn nhất của số tiền bị đánh cắp bao gồm các tài sản tiền điện tử đa dạng, bao gồm các token phổ biến như Ethereum, cũng như các loại tiền ít được biết đến hơn như Shiba Inu, PEPE, MATIC và Floki. Điều này cho thấy phạm vi tiếp cận rộng rãi của tin tặc trong các mục tiêu của chúng.

Báo cáo tiết lộ vụ trộm tiền điện tử trị giá 235 triệu đô la từ WazirX đã được thực hiện bởi tin tặc Triều Tiên

Theo dõi dấu vết kỹ thuật số

Sau vụ hack X, theo báo cáo của ZachXBT trong cuộc điều tra chung của họ, các tài sản kỹ thuật số bị đánh cắp đã được chuyển tiếp đến một ví mới trước đó đã được cấp vốn thông qua công cụ khai thác tiền điện tử tập trung vào quyền riêng tư, Tornado Cash. Dịch vụ này thường được sử dụng để che giấu nguồn gốc của các giao dịch tiền điện tử.

Bắt đầu từ địa chỉ Ethereum 0x6ee, địa chỉ này đã thực hiện các giao dịch thử nghiệm vào ngày 10 tháng 7 bằng cách sử dụng ví multisig 0x09b và nhận được tổng cộng 6 giao dịch, mỗi giao dịch trị giá 0,1 ETH, cũng được Tornado tài trợ bằng SHIB.

0x6eedf92fb92dd68a270c3205e96dccc527728066

Có thể tìm thấy bản phân tích kỹ thuật về cuộc tấn công của Mudit bên dưới

— ZachXBT (@zachxbt) Ngày 18 tháng 7 năm 2024

Cách tội phạm mạng, bao gồm cả tội phạm từ Triều Tiên, che giấu dấu vết tài sản bị đánh cắp của chúng là một đặc điểm nổi bật trong kỹ thuật rửa tiền của chúng. Theo Ellptic, mô hình này đã được quan sát thấy trong các cuộc tấn công trước đây do những tin tặc này thực hiện và đề xuất một chiến lược nhất quán để che giấu dấu chân kỹ thuật số của chúng.

DEX đóng một vai trò trong việc chuyển đổi tiền điện tử bị đánh cắp thành Ethereum, khiến các cơ quan chức năng khó theo dõi các khoản lợi bất chính hơn. Giai đoạn này trong kế hoạch rửa tiền hỗ trợ thủ phạm trốn tránh bị phát hiện và làm tăng độ phức tạp của việc theo dõi quỹ.

Elliptic gần đây đã cải tiến hệ thống của mình để xác định và cảnh báo người dùng về bất kỳ giao dịch nào được liên kết với các địa chỉ tiền điện tử bị xâm phạm. Tính năng này giúp bảo vệ khách hàng của họ khỏi việc vô tình xử lý các khoản tiền bất chính.

Thông tin chi tiết được tiết lộ

Để đối phó với vụ việc gần đây, ZachXBT đã phát hiện ra một địa chỉ tiền gửi được liên kết với thủ tục Biết khách hàng của bạn (KYC) đã được thủ phạm sử dụng để lấy tiền từ việc khai thác WazirX. Tiết lộ này có khả năng hỗ trợ cuộc điều tra nhằm xác định và bắt giữ kẻ lợi dụng.

ZachXBT@ZachXBT đã cung cấp bằng chứng thuyết phục rằng thủ phạm khai thác WazirX đã sử dụng địa chỉ gửi tiền được liên kết với xác minh KYC để rút tiền, đáp ứng một yêu cầu của tiền thưởng: xác định địa chỉ gửi tiền được liên kết với KYC của sàn giao dịch tập trung.

Cái này…

— Arkham (@ArkhamIntel) Ngày 18 tháng 7 năm 2024

Với tư cách là một nhà nghiên cứu, tôi đã thấy được một quan điểm hấp dẫn từ ZachXBT về việc xác minh Biết khách hàng của bạn (KYC) trong một số trường hợp nhất định. Ông tuyên bố rằng bất chấp quy trình KYC, việc có được các tài khoản được xác minh trực tuyến với giá dưới 100 đô la vẫn khả thi.

Nói một cách đơn giản hơn, nếu tin tặc không sử dụng danh tính thực sự của họ khi chuyển số tiền bị đánh cắp vào địa chỉ gửi tiền được ZachXBT xác định thông qua quy trình Biết khách hàng của bạn (KYC), thì thông tin này có thể không giúp truy tìm chúng.

Báo cáo tiết lộ vụ trộm tiền điện tử trị giá 235 triệu đô la từ WazirX đã được thực hiện bởi tin tặc Triều Tiên

Hình ảnh nổi bật được tạo bằng DALL-E, Biểu đồ từ TradingView

2024-07-19 11:12