Safe {Wallet} telah mengungkapkan bahwa insiden keamanan siber yang menyebabkan pencurian crypto senilai $ 1,5 miliar adalah “serangan yang sangat canggih dan disponsori negara,” yang menyatakan aktor ancaman Korea Utara di belakang peretasan mengambil langkah-langkah untuk menghapus jejak kegiatan jahat dalam upaya untuk menghambat upaya investigasi.
Platform multi-tanda tangan (MultiSig), yang telah mengikat di Google Cloud Mandiant untuk melakukan penyelidikan forensik, mengatakan serangan itu adalah pekerjaan kelompok peretasan yang dijuluki Tradertraitor, yang juga dikenal sebagai Jade Sleet, Pukchong, dan UNC4899.
“Serangan itu melibatkan kompromi laptop pengembang {dompet {dompet {pengembang ('pengembang') dan token perajin AWS untuk bypass otentikasi multi-faktor ('MFA') kontrol,” katanya. “Pengembang ini adalah salah satu dari sedikit personel yang memiliki akses lebih tinggi untuk melakukan tugas mereka.”
Analisis lebih lanjut telah menentukan bahwa aktor ancaman masuk ke mesin Apple MacOS pengembang pada 4 Februari 2025, ketika individu mengunduh proyek Docker bernama “MC-Stock-Invest-Simulator-Main-Main” yang kemungkinan melalui serangan rekayasa sosial. Proyek ini dikomunikasikan dengan domain “getstockprice[.]com “Itu terdaftar di Namecheap dua hari sebelumnya.
Ini adalah bukti sebelumnya yang menunjukkan bahwa aktor Tradertraitor telah menipu pengembang pertukaran cryptocurrency untuk membantu memecahkan masalah proyek Docker setelah mendekati mereka melalui telegram. Proyek Docker dikonfigurasi untuk menjatuhkan muatan tahap berikutnya bernama Plottwist yang memungkinkan akses jarak jauh yang persisten.
Tidak jelas apakah modus operandi yang sama dipekerjakan dalam serangan terbaru, seperti yang aman {dompet} mengatakan “penyerang menghapus malware mereka dan membersihkan sejarah pesta dalam upaya untuk menggagalkan upaya investigasi.”
Pada akhirnya, malware yang digunakan ke workstation dikatakan telah digunakan untuk melakukan pengintaian lingkungan Amazon Web Services (AWS) perusahaan dan membajak sesi pengguna AWS aktif untuk melakukan tindakan mereka sendiri yang selaras dengan jadwal pengembang dalam upaya terbang di bawah radar.
“Penggunaan penyerang akun AWS pengembang1 berasal dari alamat IP ExpressVPN dengan string agen pengguna yang berisi distribs#kali.2024,” katanya. “String agen pengguna ini menunjukkan penggunaan Kali Linux yang dirancang untuk praktisi keamanan ofensif.”
Para penyerang juga telah diamati menggunakan kerangka mitos sumber terbuka, serta menyuntikkan kode javascript berbahaya ke situs web {Wallet} yang aman untuk periode dua hari antara 19 dan 21 Februari 2025.
CEO BITBIT Ben Zhou, dalam pembaruan yang dibagikan awal pekan ini, mengatakan lebih dari 77% dana curian tetap dapat dilacak, dan 20% telah gelap dan 3% telah dibekukan. Ini mengkredit 11 partai, termasuk Mantle, Paraswap, dan Zachxbt, karena membantunya membekukan aset. Sekitar 83% (417.348 ETH) telah dikonversi menjadi Bitcoin, mendistribusikannya di 6.954 dompet.
Setelah peretasan, 2025 berada di jalur untuk tahun rekaman untuk pencurian cryptocurrency, dengan proyek Web3 sudah kehilangan $ 1,6 miliar dalam dua bulan pertama saja, peningkatan 8x dari $ 200 juta kali ini, menurut data dari platform keamanan blockchain Immunefi.
“Serangan baru -baru ini menggarisbawahi kecanggihan aktor ancaman yang berkembang dan menyoroti kerentanan kritis dalam keamanan Web3,” kata perusahaan itu. “
“Memverifikasi bahwa transaksi yang Anda tandatangani akan menghasilkan hasil yang dimaksud tetap menjadi salah satu tantangan keamanan terbesar di Web3, dan ini bukan hanya masalah pengguna dan pendidikan-ini adalah masalah di seluruh industri yang menuntut tindakan kolektif.”
