Северокорейские хакеры снова атакуют! Организация Лазаря украла 30,6 миллиона, и корейская биржа пострадала в третий раз.

Северокорейская печально известная группа киберпреступников Lazarus подозревается в организации крупной атаки на криптоактивы, в результате которой крупнейшая криптовалютная биржа Южной Кореи потеряла около 30,6 миллиона долларов. Оператор биржи Dunamu подтвердил, что в четверг активы, связанные с Solana, стоимостью 44,5 миллиарда вон, были переведены на несанкционированный кошелек, и компания заявила, что использует свои собственные резервы для полного возмещения пользователям.

Северокорейская организация Лазарь подозревается в хакерской атаке на 30,6 миллиона долларов

（Источник：X）

Согласно сообщению агентства «Рёнхап» со ссылкой на правительственные и отраслевые источники, имеются признаки того, что эта атака может быть связана с той же организацией, которая была ранее обвинена в инцидентах взлома, связанных с Lazarus. Власти готовятся провести проверку на этой бирже. Эта организация ранее была связана с кражами криптоактивов с целью создания доходов для Пхеньяна в условиях постоянного дефицита валюты. Северная Корея сталкивается с жесткими международными санкциями, и традиционные каналы получения валюты крайне ограничены, что делает кражу криптоактивов важным источником финансирования.

Оператор крупнейшей криптобиржи в Корее Dunamu подтвердил, что в четверг активы, связанные с Solana, на сумму 44,5 миллиарда вон были переведены на неавторизованный кошелек. Компания заявила, что использует свои резервные средства для полного возмещения пользователям и быстро приостановила вывод и депозит, одновременно запустив внутреннюю проверку. Эта быстрая реакция и обещание полного возмещения показывают, что Dunamu пытается максимально снизить ущерб от этой хакерской атаки для доверия пользователей.

Следователи заявили, что технологии, использованные в этой атаке, очень похожи на события 2019 года, когда хакеры, как утверждается, похитили эфириум на сумму 58 миллиардов южнокорейских вон с той же платформы. Официальные лица считают, что хакер, возможно, обошел основную инфраструктуру, подделав администратора или взломав внутренний аккаунт, что позволило авторизовать вывод средств. Такой метод внутреннего проникновения является очень типичным для атак Lazarus, что демонстрирует глубокое изучение целевой системы и долгосрочную подготовку к проникновению со стороны этой организации.

Официальные лица по безопасности заявили, что эти средства быстро переместились через Кошелек, связанный с другими платформами, что указывает на то, что кто-то пытается скрыть следы транзакций, используя методы отмывания денег, которые Лазарус использовал в прошлом. Один из чиновников заявил: «Это их обычная тактика - распределять токены по нескольким сетям, чтобы разорвать отслеживание.»

Типовая модель атаки организации Лазаря

Долгосрочное проникновение: скрытное нахождение в течение месяцев или даже лет через социальную инженерию или атаки на цепочку поставок.

Кража внутренних полномочий: выдача себя за администратора или взлом внутренних аккаунтов для получения прав на вывод средств

Быстрый перевод: Быстро переведите средства на несколько Кошелек до того, как они будут обнаружены.

Кросс-цепочное отмывание денег: распределение токенов по нескольким блокчейн-сетям для разрушения отслеживания

Сервис смешивания: использование протоколов смешивания, таких как Tornado Cash, для дальнейшего скрытия движения средств

Аналитики указывают, что Lazarus неоднократно нацеливался на известные платформы для шифрования, чтобы максимизировать влияние и曝光度, что указывает на то, что эта атака могла быть преднамеренно спланирована с целью использования высокой общественной заинтересованности. Новости об атаке на крупнейшую криптобиржу Кореи имеют высокую новостную ценность, и эта высокая曝光度 может быть способом, которым Северная Корея демонстрирует свои сетевые возможности международному сообществу.

Dunamu обещает полное возмещение и приостановку торговли

Оператор крупнейшей в Корее криптобиржи Dunamu подтвердил, что в четверг активы, связанные с Solana, на сумму 44,5 миллиарда вон (примерно 30,6 миллиона долларов США) были переведены в неавторизованный Кошелек. Компания заявила, что использует свои резервы для полной компенсации пользователям и быстро приостановила вывод и депозит средств, одновременно запустив внутреннюю проверку. Это обещание полной компенсации не часто встречается в случаях взломов криптобирж, что демонстрирует финансовую мощь Dunamu и их ответственность перед пользователями.

Остановка вывода и депозита является стандартной мерой экстренной ситуации, направленной на предотвращение дальнейшего перемещения средств злоумышленниками или использования уязвимостей системы. Однако такая остановка также создает неудобства для обычных пользователей, которые не могут проводить сделки или выводить средства. Dunamu необходимо найти баланс между безопасным расследованием и восстановлением нормальной работы, слишком долгое время остановки может привести к оттоку пользователей к конкурентным платформам.

Полная компенсация, хотя и защищает интересы пользователей, является огромной финансовой нагрузкой для Dunamu. Убытки в 30,6 миллиона долларов, плюс возможные затраты на обновление безопасности, штрафы со стороны регуляторов и ущерб репутации могут значительно превысить прямые убытки. Это также вызвало обсуждение о резервировании безопасности биржи и механизмах страхования, сможет ли одна биржа долгое время выдерживать финансовые последствия таких атак.

Аналитики блокчейна отслеживали движение украденных средств в социальных сетях. Неизвестный злоумышленник похитил средства из нескольких горячих кошельков крупнейшей криптобиржи Кореи и, подождав некоторое время, начал кросс-цепочные переводы средств. В какой-то момент хакер перевел USDC с одной цепочки на другую с помощью моста, что сделало отслеживание крайне затруднительным.

Сомнения вызваны совпадением времени покупки Naver

На следующий день после того, как Naver объявил о планах по приобретению Dunamu через обмен акциями, на этой бирже произошло нарушение правил, что сделало Naver объектом всеобщего внимания. Это совпадение во времени вызвало множество предположений: пытается ли кто-то сорвать сделку? Не утекла ли информация о уязвимостях от инсайдеров? Или это просто совпадение?

Naver, как крупнейшая интернет-компания в Корее, изначально рассматривал приобретение Dunamu как знаковое событие слияния криптоиндустрии и традиционных технологических гигантов. Однако произошедшая хакерская атака может повлиять на оценку стоимости сделки и условия переговоров. Naver может потребовать снижения цены покупки или увеличения мер безопасности, в то время как Dunamu необходимо доказать Naver, что она способна улучшить защиту.

В то же время финансовая технологическая компания Naver Financial, принадлежащая южнокорейскому интернет-гиганту Naver, готовится к запуску кошелька для стабильных монет в Пусане, что является частью усилий по созданию экономики на основе блокчейна в этом городе. Сообщается, что Naver завершила разработку этого кошелька и в настоящее время проводит последние проверки, ожидая официального запуска в следующем месяце. Проект разработан в сотрудничестве с венчурной компанией Hashed и Пусанской цифровой активной биржей (BDAN).

Этот план расширения бизнеса стал еще более чувствительным после хакерской атаки. Если Naver хочет установить репутацию в области шифрования, ей необходимо доказать, что она может обеспечить более сильную безопасность, чем крупнейшая биржа криптоактивов в Корее. Этот инцидент может подтолкнуть Naver к проведению более тщательной проверки безопасности и стресс-тестирования перед запуском кошелька стабильной монеты.

Южная Корея может возобновить санкции против северокорейских хакеров

В начале этого месяца Южная Корея заявила, что после того, как США предприняли новые меры по связыванию киберпреступлений с криптоактивами в Пхеньяне и финансированием его программ вооружений, Южная Корея может пересмотреть свои санкции против Северной Кореи. Заместитель министра иностранных дел Кореи Ким Чжи На отметила, что Сеул может “пересмотреть меры санкций в случае реальной необходимости” и подчеркнула, что будет тесно координировать свои действия с Вашингтоном для противодействия растущим киберугрозам и цифровым угрозам со стороны Северной Кореи.

Ким заявил: «Если Пхеньян украдет криптоактивы, координация между Южной Кореей и США имеет решающее значение, так как эти криптоактивы могут быть использованы для финансирования ядерных и ракетных программ Северной Кореи, что представляет угрозу для нашей цифровой экосистемы». Это заявление раскрывает геополитическое измерение хакерских атак Северной Кореи, это не просто экономическое преступление, но и угроза национальной безопасности.

Согласно оценкам Организации Объединенных Наций и Министерства финансов США, общая сумма криптоактивов, украденных Северной Кореей в результате хакерских атак, превышает несколько миллиардов долларов. Эти средства используются для обхода международных санкций, поддержания работы режима и финансирования ядерных и ракетных программ. Группа Lazarus, являясь наиболее элитным киберподразделением Северной Кореи, нацелена на атаки по всему миру, включая криптобиржи и традиционные финансовые учреждения, которые также подвергались атакам.

Потеря в 30,6 миллиона долларов, понесенная крупнейшей криптобиржей Кореи, не является крупнейшей в истории атак хакеров из Северной Кореи, но время её возникновения после объявления о планах по приобретению Naver и техническое сходство с инцидентом 2019 года усложняют расследование и установление причин. Вопрос о том, возобновит ли правительство Кореи более строгие меры санкций, и как международное сообщество будет усиливать защиту от киберугроз Северной Кореи, будет в центре внимания в дальнейшем.