Jak severokoreanské hackery ukradly 285 milionů dolarů, když se vydávaly za přátelské obchodníky
Kryptoměnová obchodní platforma ztratila 285 milionů dolarů ne kvůli zlomenému zámku — ale protože podvodníci šest měsíců předstírali důvěryhodné sousedy, než tiše odnesli klíče. Nešlo o náhlý útok, ale o pečlivě naplánovanou podvodnou akci, která ukazuje, jak se kyberpravoústřednost proměnila v něco blížícího se špiónským thrillerům než technickým selháním.
Dlouhá podvoda začala na konferenci
Jarní sezóna přinesla lidí, kteří se vydávali za zástupce kvantitativní obchodní společnosti, na velké kryptokonferenci. Přiblížili se ke vývojářům Drift Protocol — dezentralizované burzy (DEX) postavené na blockchainu Solana — a začali jednat jako obchodní partneri. Vyměnili si kontakty, připojili se do skupin Telegramu a dokonce vložili depozit ve výši jednoho milionu dolarů do ekosystému Drift, aby prokázali svou legitimitu.
Nic z toho však nebylo pravdivé. Podle vyšetřování Drift byli tito lidé součástí skupiny UNC4736 spojené s Severní Koreou. Jejich cílem nebyla jen krádež — chtěli se tak hluboce zapojit do komunity, aby varování nezaznělo, dokud už bylo pozdě.
Jak přesně proběhla útok
Útočníci nezlomili hesla ani neuhádli tajné kódy. Místo toho použili tři chytře navržené triky:
- Předstírané vývojářské nástroje: vytvořili zneužitelnou verzi oblíbeného softwaru pro programování (např. VSCode nebo Cursor), který vypadal normálně, ale v pozadí spouštěl škodlivý kód.
- Předstírané mobilní aplikace: šířili falešnou aplikaci TestFlight — systém Apple pro testování předběžných verzí software — a oklamali uživatele, aby si nainstalovali škodlivý software.
- Falešný repozitář kódu: vývojáři náhodně stáhli kód z falešného zdroje obsahující skryté backdoors.
Jakmile se dostali dovnitř, vytvořili tzv. "Ekosystémový trezor" — speciální účet pro velké partnery — a pomocí něj spustili krádež. Hned po odchodu 285 milionů dolarů smazali všechny stopy: chaty v Telegramu zmizely, škodlivý software se samoodebral a online identity zločinců zmizely bez stopy.
Proč to zasahuje nejen jednu platformu
Tento útok odpovídá rostoucí tendenci. Stejná skupina — známá také jako AppleJeus nebo Citrine Sleet — je podezřelá z dalších velkých kryptokrádeží, včetně útoku na Radiant Capital v roce 2024. Odborníci na bezpečnost uvádějí, že spojené se Severní Koreou zločinci často používají ne-severokorejské prostředníky pro osobní setkání, což je jejich odhalení ještě obtížnější.
Ještě horší je, že tento způsob obejde tradiční ochranné opatření. I vícepodpisové peněženky — kde pro transakci potřebuje schválení několika lidí — se ukázaly jako bezúčelné, protože podepsaní byli oklamáni a schválili to, co se zdálo neškodné. Jak řekl jeden expert: "Problém není v tom, kolik lidí podepisuje — problém je v tom, jestli vědí, co přesně podepisují."
Co to znamená pro běžné lidi?
Pokud používáte kryptopřílohy — i nepřímo prostřednictvím burz nebo peněženek — jste touto hrozbou ohroženi. Když hackery kompromitují nástroje, na kterých spoléhají vývojáři, trpí každý, kdo používá jejich výsledky. Je to jako kdyby kuchař náhodou použil otrávené ingredience: jídlo vypadá normálně, ale je nebezpečné.
Nemusíte panikovat, ale je to připomenutí, že důvěra v digitálních prostorách musí být ověřena, nikoli přijata jako samozřejmost. Nejbezpečnější systémy teď imitují transakce před jejich provedením a ukazují přesně, co se změní v blockchainu — bez ohledu na to, jak přátelsky se požadavek zdá.
Klíčové závěry
- Severokoreanské hackery pronikly do Drift Protocol po dobu šesti měsíců, používaly falešné identity a osobní setkání.
- Využili důvěryhodné vývojářské nástroje a aplikace, aby tichounce vložili škodlivý kód.
- Krádež ve výši 285 milionů dolarů úspěšná, protože oběti padly oběti sociálního inženýrství — ne kvůli technickým nedostatkům.
- Vícepodpisové systémy mohou selhat, pokud uživatelé nevědí, co schvalují.
- Hlavní lekce: v kryptu vidět — neznamená věřit. Transakce musí být nezávisle ověřeny.
— Editorial Team