FBI cảnh báo cộng đồng DeFi về các cuộc tấn công hack từ Triều Tiên đang gia tăng

Các nhóm hacker có liên hệ với chính phủ Triều Tiên ngày càng tập trung nỗ lực vào các nền tảng tài chính phi tập trung (DeFi) và người dùng. Vào ngày 3 tháng 9, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra một cảnh báo nghiêm khắc, nêu bật các chiến thuật hung hăng mà những kẻ này sử dụng để khai thác lỗ hổng trong ngành công nghiệp tiền điện tử.

FBI nhấn mạnh rằng Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đã tiến hành các cuộc tấn công kỹ thuật xã hội được ngụy trang khéo léo. Những tin tặc này thực hiện hoạt động do thám mở rộng, xem xét hoạt động truyền thông xã hội trên các nền tảng chuyên nghiệp để xác định các mục tiêu tiềm năng trong cộng đồng DeFi. Theo công ty phân tích Chainalysis, tin tặc Triều Tiên chịu trách nhiệm cho khoảng 1 tỷ đô la tiền điện tử bị đánh cắp chỉ riêng trong năm 2023, một năm chứng kiến ​​sự gia tăng về số lượng vụ hack mặc dù tổng giá trị tiền pháp định bị đánh cắp đã giảm.

Những nhóm khét tiếng đứng sau các vụ tấn công

Nhóm Lazarus, một đơn vị mạng được cho là làm việc cho chính phủ Bắc Triều Tiên, đã trở nên khét tiếng vì những hành vi khai thác cực kỳ tinh vi của mình. Kể từ khi thành lập vào năm 2009, nhóm này đã liên quan đến một số vụ vi phạm hệ thống tài chính truyền thống và tiền điện tử lớn nhất, bao gồm vụ hack Harmony Bridge khét tiếng trị giá 100 triệu đô la và vụ tấn công trị giá 81 triệu đô la vào Ngân hàng Trung ương Bangladesh năm 2016.

Những tên tội phạm mạng này thường dựa vào một chiến lược cụ thể, được gọi là "Công thức Lazarus". Điều này bắt đầu bằng việc xâm nhập vào hệ thống của mục tiêu bằng cách tấn công vào các cơ sở mã dễ bị tấn công hoặc thông qua các cuộc tấn công watering hole, trong đó phần mềm độc hại được cài vào các trang web hợp pháp. Khi một nhân viên từ tổ chức mục tiêu truy cập vào trang web bị xâm phạm, hệ thống của họ sẽ bị nhiễm. Sau đó, tin tặc triển khai các cửa hậu trên toàn bộ mạng của mục tiêu, cuối cùng cho phép chúng vượt qua các biện pháp bảo mật và đánh cắp tiền.

bài đọc liên quan:Nhóm tin tặc Triều Tiên Lazarus Group được xác định là nghi phạm trong vụ việc WazirX, công tác chuẩn bị cho vụ trộm đã bắt đầu từ tám ngày trước

Kỹ thuật xã hội ở cốt lõi

Tin tặc Triều Tiên đã sử dụng kỹ thuật xã hội làm chiến lược chính để nhắm mục tiêu vào các nền tảng DeFi. Điều này bao gồm sử dụng các nỗ lực lừa đảo để truy cập khóa riêng tư và cài cắm các nhà phát triển độc hại vào các nhóm DeFi. Một ví dụ nổi bật gần đây liên quan đến một nhà phát triển Triều Tiên được cho là đã khai thác trong trò chơi Munchables, được xây dựng trên Ethereum Layer 2. Tin tặc đã chèn một lỗ hổng trong hợp đồng, cho phép kiểm soát tới 1 triệu ETH, rút ​​63 triệu đô la từ giao thức. May mắn thay, số tiền sau đó đã được trả lại mà không cần tiền chuộc.

bài đọc liên quan:Nhà lãnh đạo Triều Tiên Kim Jong-un bị tình nghi đã thuê 21 nhân viên CNTT Triều Tiên tham gia ít nhất 25 dự án mã hóa, kiếm được ít nhất hơn 500.000 đô la lợi nhuận hàng tháng

Tác động rộng rãi đến hệ sinh thái DeFi

Nhóm Lazarus đã xâm nhập vào nhiều giao thức DeFi và các tổ chức tài chính truyền thống, tận dụng các chiến thuật như email lừa đảo và khai thác các cơ sở mã dễ bị tấn công. Các khoản tiền bị đánh cắp thường được rửa thông qua các máy trộn như Tornado Cash, che giấu nguồn gốc của tiền điện tử. Chainalysis, cùng với các công ty phân tích khác, đã theo dõi các ví được kết nối với nhau có liên quan đến các vụ hack này, giúp lập bản đồ mạng lưới khai thác rộng lớn.

Nhà phân tích ZachXBT của Onchain đã tiết lộ thêm cách tin tặc Triều Tiên xâm nhập vào các nhóm DeFi. Sử dụng danh tính giả, họ xây dựng sơ yếu lý lịch và kho lưu trữ GitHub để ứng tuyển vào các vai trò trong nhiều dự án. Những nhà phát triển gian lận này ước tính kiếm được từ 300.000 đến 500.000 đô la mỗi tháng bằng cách làm việc đồng thời trên hơn 25 dự án DeFi, sử dụng các thông tin xác thực giả này để trốn tránh bị phát hiện.

Trong khi quy mô các cuộc tấn công mạng của Triều Tiên vào các nền tảng DeFi đang gây lo ngại, vấn đề nằm sâu hơn chính những tổn thất. Khi không gian DeFi trở thành mục tiêu chính, các cuộc tấn công này làm nổi bật các lỗ hổng bảo mật đang diễn ra có thể đe dọa đến tính toàn vẹn của toàn bộ hệ sinh thái phi tập trung. Sự tinh vi ngày càng tăng của các chiến thuật kỹ thuật xã hội được những tin tặc này sử dụng có nghĩa là vấn đề chỉ có thể trở nên tồi tệ hơn nếu không có biện pháp phòng thủ đầy đủ.