سرقت ۵۴۰ میلیون دلاری هکرهای کره‌ شمالی از کاربران آکسی اینفینیتی

هک ۵۴۰ میلیون دلاری آکسی اینفینیتی

وزارت خزانه‌داری ایالات متحده آمریکا، یک گروه هکری از کره شمالی به نام گروه لازاروس (Lazarus) یا کبرای مخفی (Hidden Cobra) را مسئول سرقت ۵۴۰ میلیون دلاری از شبکه بازی متاورسی آکسی اینفینتی (Axie Infinity) در ماه گذشته دانست.

وزارت خزانه‌داری ایالات متحده آمریکا اعلام کرده که آدرس کیف پول دیجیتالی اتریوم که رمزارز سرقت شده به آن منتقل شده است، به هکری منسوب به کره شمالی تعلق دارد و آدرس این کیف پول را به فهرست تحریمی SDN سازمان کنترل دارایی‌های خارجی (OFAC) اضافه کرده است.

آژانس اطلاعات و اجرای قانون ایالات متحده آمریکا می‌گوید: «پلیس فدرال ایالات متحده آمریکا (FBI) در هماهنگی با وزارت خزانه‌داری این کشور، به کشف و مبارزه با فعالیت‌های قاچاق جمهوری خلق کره شمالی، شامل جرائم سایبری و سرقت ارزهای دیجیتال که به منبع درآمد رژیم حاکم بر این کشور تبدیل شده‌اند، ادامه خواهد داد».

در این سرقت ارز دیجیتال که دومین سرقت سایبری بزرگ ارزهای دیجیتال رخ داده تا به امروز است و در تاریخ ۲۳ مارس ۲۰۲۲، تعداد ۱۷۳ هزار و ۶۰۰ کوین اتریوم (ETH) و ۲۵.۵ میلیون کوین USD از طریق پل میان-زنجیره‌ای رانین (Ronin) که به کاربران امکان انتقال دارایی‌های دیجیتالی از یک بلاک چین به بلاک چین دیگر را می‌دهد، سرقت شد.

شبکه رانین یک هفته بعد از این سرقت بزرگ، در گزارش خودش گفت: «مهاجم از کلیدهای خصوصی هک شده برای جعل کردن تراکنش‌های برداشت، استفاده کرده است».

تحریم شدن آدرس کیف پول دیجیتالی شناسایی شده، به این معنی است که سازمان‌ها و اشخاص حقیقی در ایالات متحده آمریکا اجازه ندارند که تراکنشی با این آدرس انجام دهند تا این گروه تحت حمایت رژیم کره شمالی نتواند پول بیشتری به دست آورد.

وبسایت شرکت بلاک چینی Elliptic گزارش داده است: «در ابتدا، USDC سرقت شده به واسطه صرافی‌های غیر متمرکز (Decentralized Exchanges یا DEXها) با اتریوم معامله شد تا جلوی کشف و ضبط آن گرفته شود. هکر با تبدیل کردن توکن‌ها در صرافی‌های غیر متمرکز، از بررسی‌های ضد پول‌شویی (AML) و احراز هویت کاربر (KYC) که در صرافی‌های متمرکز انجام می‌شوند، اجتناب کرده است».

تقریبا ۸۰.۳ میلیون دلار از دارایی‌ها با استفاده از سرویس مخلوط‌کننده کوین (coin mixing service) تورنادو کش (Tornado Cash) که بر بستر بلاک چین اتریوم کار می‌کند، پول شویی شده و احتمالا، مقدار زیادی اتریوم به میزان ۹.۷ میلیون دلار، به همین شیوه پول‌شویی شده است.

گروه لازاروس که نامی پوششی برای یک گروه هکری تحت حمایت رژیم حاکم بر کره شمالی است، از سال ۲۰۱۷ در چندین سرقت ارز دیجیتال برای دور زدن تحریم‌های اعلام شده روی این رژیم و تأمین منابع مالی برای برنامه‌های هسته‌ای و موشکی این رژیم، نقش داشته است.

شرکت امنیت سایبری Mandiant  می‌گوید: «به نظر می‌رسد که فعالیت‌های جاسوسی این کشور، در راستای مشکلات و اولویت‌های کنونی رژیم حاکم، که تأمین منابع مالی از طریق سرقت ارزهای دیجیتال، هدف گرفتن رسانه‌ها، خبرگزاری‌ها و سازمان‌های سیاسی و اطلاعات مرتبط با روابط خارجی و اطلاعات هسته‌ای است، انجام می‌شوند».

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده آمریکا هشدار داده است که تهدیدات هکری، روز به روز در حال پیشرفته‌تر شدن هستند و طیف گسترده‌ای از ابزارهای بدافزاری را در سرتاسر دنیا توسعه می‌دهند و به کار می‌گیرند تا از آن‌ها در چنین فعالیت‌هایی استفاده کنند.

به گفته وبسایت Chainalysis، پیش از این نیز گروه لازاروس در یک سرقت دارایی‌های دیجیتالی به ارزش حدود ۴۰۰ میلیون دلار از پلتفرم‌های کرپیتو در سال ۲۰۲۱ و سرقت ۲۴۰ میلیون دلاری سال ۲۰۲۰ نقش داشته است و تنها ۲۰ درصد از دارایی‌های به سرقت رفته، با بیت کوین ارتباط داشته‌ و ۵۸ درصد آن‌ها، اتر (Ether) بوده‌اند. توکن‌های ERC-20 و دیگر آلت کوین‌ها نیز ۲۲ درصد باقیمانده را تشکیل می‌دهند.

با وجود تحریم‌های ایالات متحده علیه لازروس، کمپین‌های هکری که این تیم به تازگی انجام داده است، روی اپلیکیشن‌های والت دیفای تمرکز کرده‌اند تا به سیستم‌های ویندوز نفوذ کرده و دارایی‌های کاربران را سرقت کنند.

Chainalysis ادامه می‌دهد که تقریبا ۹۷ درصد از رمزارزهای سرقت شده در سه ماهه نخست سال ۲۰۲۲، از پروتکل‌های دیفای به سرقت رفته‌اند. خطرناک‌ترین تهدیدات سایبری برای پروتکل‌های دیفای، کدهای معیوب و آسیب‌پذیری‌ها در اپلیکیشن‌های دیفای هستند.