Тайванската криптоборса BitoPro обвинява групата Lazarus за кражбата на $11 милиона. Атаката е осъществена чрез социално инженерство и облачна компрометация.

Тайванската криптоборса BitoPro официално заяви, че зад скорошната кибератака, довела до кражбата на криптовалута на стойност 11 милиона долара, стои печално известната севернокорейска хакерска група Lazarus. Инцидентът е извършен на 8 май 2025 г., а потвърждението от страна на компанията дойде едва в началото на юни.

Според BitoPro, разследването на вътрешния екип по сигурността показва, че методологията на атаката ясно съвпада с тактики, използвани при предишни големи международни пробиви, включително кражби чрез системата SWIFT и взломове на големи криптоборси.

„Методът на атака съвпада с модели, наблюдавани в редица големи международни инциденти, включително неразрешени трансфери през глобалната система SWIFT и кражби на активи от международни криптовалутни платформи,“ се казва в официалното съобщение на BitoPro.

Как е осъществена атаката?

BitoPro, борса с над 800 000 регистрирани потребители и дневен обем на търговия около 30 милиона долара, е била компрометирана по време на ъпдейт на т.нар. „hot wallet“ система на 8 май. Хакерите са използвали този момент, за да извършат неоторизирани тегления от стара гореща портфейлна инфраструктура, оперираща в блокчейните на Ethereum, Tron, Solana и Polygon.

Откраднатите активи впоследствие са били изпрани чрез децентрализирани борси (DEX) и услуги за смесване на транзакции като Tornado Cash, ThorChain и Wasabi Wallet.

Социално инженерство и заобикаляне на MFA

По данни от приключилото на 11 юни разследване, атаката не е включвала вътрешно съдействие. Вместо това, извършителите са използвали социално инженерство, за да заразят компютъра на служител от екипа по облачни операции с вредоносен софтуер. Чрез това проникване хакерите са успели да откраднат AWS session токени, което им е позволило да заобиколят многофакторната автентикация (MFA) и да получат пълен достъп до облачната инфраструктура на компанията.

Оттам нататък командно-контролният сървър (C2) е изпратил инструкции към зловредния код, който е инжектирал скриптове в хост системата на hot wallet-а точно в момента на планирания ъпдейт. Атаката е извършена така, че да имитира нормална оперативна дейност, с цел да избегне ранно откриване.

Реакция и последствия

След установяване на пробива, BitoPro е изключила засегнатата hot wallet система и е подменила криптографските ключове. Въпреки това, към онзи момент вече са били откраднати около 11 милиона долара в различни криптовалути.

Компанията е уведомила съответните регулатори и е ангажирала външен екип по киберсигурност, който е потвърдил липсата на вътрешна намеса. BitoPro увери потребителите, че всички засегнати портфейли са възстановени от резервните фондове и че платформата функционира нормално.

Lazarus – заплахата срещу криптовалутния сектор

Lazarus Group, която често се свързва със севернокорейския режим, е една от най-активните и опасни киберпрестъпни организации, специализирани в атаки срещу криптовалути и децентрализирани финансови платформи (DeFi). Групата е заподозряна в редица кражби за над милиард долара, включително рекордната атака срещу платформата Bybit, при която бяха откраднати 1.5 милиарда долара.