Jak koreańscy hakerzy skradli 285 milionów dolarów, udając się za przyjaznych traderów
Platforma do handlu kryptowalutami straciła 285 milionów dolarów nie z powodu złamanego zamka — ale ponieważ oszustowie sześć miesięcy udawali wiarygodnych sąsiadów, zanim cicho zabrali klucze. To nie był zwykły napad, a starannie zaplanowana sztuczka, która pokazuje, jak kryminalność cyberprzestępcza przypomina już lepiej szpiegowskie thriller'y niż techniczne awarie.
Długa oszustwa zaczyna się na konferencji
Wiosną ludzie przedstawiający się jako reprezentanci ilościowej firmy handlowej pojawili się na dużej konferencji kryptowalutowej. Poznali developerów Drift Protocol — dezentralnej giełdy (DEX) działającej na blockchainie Solana — i rozpoczęli rozmowy jak prawdziwi partnerzy biznesowi. Wymienili kontakty, dołączyli do grup Telegrama, nawet wpłacili depozyt w wysokości jednego miliona dolarów do ekosystemu Drift, by udowodnić swoją wiarygodność.
Ale nic z tego nie było prawdą. Według dochodzenia Drift, ci ludzie byli częścią grupy UNC4736 powiązanej z Koreą Północną. Ich celem nie była tylko kpazha — chcieli tak głęboko wniknąć w społeczność, by alarm nie zadziałał, dopóki nie było już za późno.
Jak dokładnie przebiegła atak
Atakujący nie łamali haseł ani nie zgadywali kodów tajnych. Zamiast tego użyli trzech wyrafinowanych trików:
- Podrobione narzędzia dla developerów: stworzyli złośliwą wersję popularnego oprogramowania do programowania (np. VSCode lub Cursor), które wyglądało normalnie, ale w tle uruchamiało złośliwy kod.
- Podrobione aplikacje mobilne: rozprzestrzenili podrobioną aplikację TestFlight — system Apple do testowania wersji beta — i zwyczajnie zmusili użytkowników do instalacji złośliwego oprogramowania.
- Podrobiony repozytorium kodu: deweloperzy przypadkowo pobrali kod z fałszywego źródła zawierającego ukryte backdoory.
Po wejściu do systemu hakerzy utworzyli tzw. "Ekosystemowy sejf" — specjalny konto dla dużych partnerów — i wykorzystali go do uruchomienia kradzieży. Natychmiast po odpływie 285 milionów dolarów usunęli wszystkie ślady: czaty w Telegramie zniknęły, złośliwe oprogramowanie samo usunęło się, a online tożsamości przestępców zniknęły bez śladu.
Dlaczego to dotyczy nie tylko jednej platformy
Ten atak pasuje do rosnącej tendencji. Ta sama grupa — znana również jako AppleJeus lub Citrine Sleet — podejrzewana jest o inne wielkie krypto-przestępstwa, w tym włamanie do Radiant Capital w 2024 roku. Ekspertowie ds. bezpieczeństwa mówią, że powiązani z Koreą Północną przestępcy często używają niemiejscowych pośredników do spotkań osobistych, co jeszcze bardziej utrudnia ich wykrycie.
Gorsze jest to, że ten sposób obejmuje tradycyjne środki ochrony. Nawet portfele z wieloosobową podpisową — gdzie transakcja wymaga zgody kilku osób — okazały się bezużyteczne, ponieważ podpisujący zostali oszukani, zatwierdzając coś, co wydawało się bezpieczne. Jak powiedział jeden ekspert: «Problem nie polega na liczbie osób, które podpisują — problem polega na tym, czy one rozumieją, co dokładnie podpisują».
Co to oznacza dla zwykłych ludzi?
Jeśli korzystasz z aplikacji kryptowalutowych — nawet pośrednio przez giełdy lub portfele — jesteś narażony na takie ryzyko. Gdy hakerzy kompromitują narzędzia, na których opierają się deweloperzy, cierpi wszyscy, którzy korzystają z wyników. To jakby kucharz przypadkiem użył zatruwanych składników: jedzenie wygląda normalnie, ale jest niebezpieczne.
Nie musisz panikować, ale to przypomnienie, że zaufanie w przestrzeni cyfrowej należy sprawdzać, a nie przyjmować jako oczywiste. Najbezpieczniejsze systemy teraz symulują transakcje przed ich wykonaniem, pokazując dokładnie, co zmieni się w blockchainie — niezależnie od tego, jak przyjazny wydaje się żądanie.
Kluczowe wnioski
- Koreańscy hakerzy przeniknęli do Drift Protocol przez sześć miesięcy, używając fałszywych tożsamości i spotkań osobistych.
- Wykorzystali zaufane narzędzia dla developerów i aplikacje, aby cicho wdrożyć złośliwy kod.
- Kradzież w wysokości 285 milionów dolarów powiodła się, ponieważ ofiarami zostali ludzie poddający się inżynierii społecznej — a nie z powodu braków technicznych.
- Systemy wieloosobowe mogą zawieść, jeśli użytkownicy nie rozumieją, co dokładnie zatwierdzają.
- Główny lekcja: w kryptowalutach widzieć — nie zawsze znaczy wierzyć. Transakcje powinny być niezależnie sprawdzone.
— Editorial Team