النص الأصلي تم تجميعه بواسطة: Babywhale، Foresight News
ويبدو أن مجموعة القراصنة الكورية الشمالية لازاروس كثفت عملياتها مؤخرا. وقد أكدت أربع هجمات ضد شركات العملات المشفرة منذ 3 يونيو/حزيران، ومن المرجح أن يكون الهجوم الأخير على بورصة العملات المشفرة كوين إكس من تنفيذ لازاروس. ردًا على ذلك، أصدرت CoinEx عدة تغريدات تفيد بأنه لا يزال يتم تحديد عناوين المحفظة المشبوهة، وبالتالي فإن القيمة الإجمالية للأموال المسروقة ليست واضحة بعد، ولكنها ربما وصلت إلى 54 مليون دولار.
على مدار المائة يوم الماضية، تم التأكد من قيام Lazarus بسرقة ما يقرب من 240 مليون دولار من Atomic Wallet (100 مليون دولار)، وCoinsPaid (37.3 مليون دولار)، وAlphapo (60 مليون دولار)، وStake.com (41 مليون دولار).
كما هو موضح أعلاه، قامت Elliptic بتحليل أن بعض الأموال المسروقة من CoinEx تم إرسالها إلى العنوان الذي تستخدمه منظمة Lazarus لتخزين الأموال المسروقة من Stake.com، وإن كان ذلك على blockchain مختلف. تم بعد ذلك ربط الأموال بسلسلة من الإيثريوم عبر جسر عبر السلسلة كان يستخدمه Lazarus سابقًا، ثم تم إرسالها مرة أخرى إلى عنوان معروف أنه يتحكم فيه قراصنة CoinEx. لاحظت شركة Elliptic هذا النوع من الخلط بين الأموال من قراصنة مختلفين في حادثة Lazarus، وكان آخرها عندما تم خلط الأموال المسروقة من Stake.com مع الأموال المسروقة من محفظة Atomic. تظهر هذه الحالات من الأموال التي تم جمعها من قراصنة مختلفين باللون البرتقالي في الصورة أدناه.
خمس هجمات في أكثر من 100 يوم
في عام 2022، نُسبت العديد من الاختراقات البارزة إلى Lazarus، بما في ذلك الهجوم على جسر Harmony’s Horizon Bridge والهجوم على جسر Ronin Bridge في Axie Infinity، وكلاهما حدث في النصف الأول من العام الماضي. ومنذ ذلك الحين وحتى يونيو من هذا العام، لم تُنسب علنًا أي سرقات كبرى للعملات المشفرة إلى لازاروس. ولذلك، تشير العديد من هجمات القرصنة على مدار الـ 100 يوم الماضية أو نحو ذلك إلى أن مجموعات القرصنة الكورية الشمالية أصبحت نشطة مرة أخرى.
في 3 يونيو 2023، خسر مستخدمو محفظة العملات المشفرة اللامركزية غير الاحتجازية Atomic Wallet أكثر من 100 مليون دولار. نسبت Elliptic الاختراق رسميًا إلى Lazarus في 6 يونيو 2023، بعد تحديد عوامل متعددة تشير إلى مسؤولية مجموعة قرصنة كورية شمالية، وهو ما أكده مكتب التحقيقات الفيدرالي لاحقًا.
في 22 يوليو 2023، تمكن Lazarus من الوصول إلى محفظة ساخنة تابعة لمنصة مدفوعات العملات المشفرة CoinsPaid من خلال هجوم الهندسة الاجتماعية. سمح هذا الوصول للمهاجم بإنشاء طلبات ترخيص لسحب ما يقرب من 37.3 مليون دولار من الأصول المشفرة من المحفظة الساخنة للمنصة. في 26 يوليو، أصدرت CoinsPaid تقريرًا يدعي أن Lazarus كان مسؤولاً عن الهجوم، وهو ما أكده مكتب التحقيقات الفيدرالي.
وفي نفس اليوم، 22 يوليو، شنت شركة Lazarus هجومًا آخر، استهدف هذه المرة مزود مدفوعات العملات المشفرة المركزي Alphapo، وسرقت 60 مليون دولار من أصول العملات المشفرة. ربما تمكن المهاجم من الوصول عبر مفتاح خاص تم تسريبه مسبقًا. وأكد مكتب التحقيقات الفيدرالي لاحقًا أن لازاروس هو المهاجم في هذا الحادث.
في 4 سبتمبر 2023، تعرضت منصة المقامرة عبر الإنترنت Stake.com للهجوم وتمت سرقة ما يقرب من 41 مليون دولار من العملات المشفرة، ربما بسبب سرقة المفاتيح الخاصة. وأصدر مكتب التحقيقات الفيدرالي (FBI) إعلانًا في 6 سبتمبر، أكد فيه وقوف منظمة "لازاروس" وراء الهجوم.
أخيرًا، في 12 سبتمبر 2023، أصبحت بورصة العملات المشفرة المركزية CoinEx ضحية لهجوم قراصنة وتمت سرقة 54 مليون دولار. كما ذكرنا أعلاه، تشير العديد من الأدلة إلى أن لعازر هو المسؤول عن هذا الهجوم.
لعازر غير "تكتيكاته"؟
يُظهر تحليل آخر نشاط لـ Lazarus أنه منذ العام الماضي حولوا تركيزهم من الخدمات اللامركزية إلى الخدمات المركزية. أربعة من الاختراقات الخمسة الأخيرة التي تمت مناقشتها سابقًا استهدفت مقدمي خدمات الأصول المشفرة المركزية. قبل عام 2020، قبل الصعود السريع لنظام DeFi البيئي، كانت التبادلات المركزية هي الهدف الرئيسي لـ Lazarus.
هناك عدة تفسيرات محتملة لسبب تحويل لازاروس اهتمامه مرة أخرى إلى الخدمات المركزية.
إيلاء المزيد من الاهتمام للأمن: وجدت الأبحاث السابقة التي أجرتها Elliptic حول هجمات قرصنة DeFi في عام 2022 أن الهجوم سيحدث في المتوسط كل أربعة أيام في عام 2022، مع سرقة 32.6 مليون دولار في المتوسط لكل هجوم. أصبحت الجسور عبر السلسلة واحدة من أكثر أنواع بروتوكولات التمويل اللامركزي DeFi التي يتم اختراقها شيوعًا في عام 2022. ربما تكون هذه الاتجاهات قد أدت إلى تحسينات في معايير تدقيق العقود الذكية وتطويرها، مما أدى إلى تضييق نطاق المتسللين لتحديد نقاط الضعف واستغلالها.
القابلية للتأثر بالهندسة الاجتماعية: في العديد من هجمات القرصنة، كانت طريقة الهجوم المفضلة لمجموعة Lazarus هي الهندسة الاجتماعية. على سبيل المثال، كان اختراق Ronin Bridge الذي تبلغ قيمته 540 مليون دولار بمثابة "فجوة" تم العثور عليها من خلال فرص العمل المزيفة على LinkedIn. ومع ذلك، تميل الخدمات اللامركزية إلى عدم وجود عدد كبير من الموظفين، وهي – كما يوحي الاسم – لامركزية بدرجات متفاوتة. ولذلك، فإن الحصول على وصول ضار إلى أحد المطورين قد لا يعني بالضرورة الحصول على حق الوصول الإداري إلى عقد ذكي.
وفي الوقت نفسه، من المرجح أن توظف البورصات المركزية قوة عاملة أكبر نسبياً، وبالتالي توسيع نطاق الأهداف المحتملة. وقد تعمل أيضًا باستخدام أنظمة تكنولوجيا المعلومات الداخلية المركزية، مما يمنح برامج Lazarus الضارة فرصة أكبر لاختراق الأعمال.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
مجموعة القراصنة الكورية الشمالية "لازاروس" جمعت 300 مليون دولار في 100 يوم واستهدفت مؤسسات مركزية
المؤلف الأصلي: الاهليلجيه
النص الأصلي تم تجميعه بواسطة: Babywhale، Foresight News
ويبدو أن مجموعة القراصنة الكورية الشمالية لازاروس كثفت عملياتها مؤخرا. وقد أكدت أربع هجمات ضد شركات العملات المشفرة منذ 3 يونيو/حزيران، ومن المرجح أن يكون الهجوم الأخير على بورصة العملات المشفرة كوين إكس من تنفيذ لازاروس. ردًا على ذلك، أصدرت CoinEx عدة تغريدات تفيد بأنه لا يزال يتم تحديد عناوين المحفظة المشبوهة، وبالتالي فإن القيمة الإجمالية للأموال المسروقة ليست واضحة بعد، ولكنها ربما وصلت إلى 54 مليون دولار.
على مدار المائة يوم الماضية، تم التأكد من قيام Lazarus بسرقة ما يقرب من 240 مليون دولار من Atomic Wallet (100 مليون دولار)، وCoinsPaid (37.3 مليون دولار)، وAlphapo (60 مليون دولار)، وStake.com (41 مليون دولار).
كما هو موضح أعلاه، قامت Elliptic بتحليل أن بعض الأموال المسروقة من CoinEx تم إرسالها إلى العنوان الذي تستخدمه منظمة Lazarus لتخزين الأموال المسروقة من Stake.com، وإن كان ذلك على blockchain مختلف. تم بعد ذلك ربط الأموال بسلسلة من الإيثريوم عبر جسر عبر السلسلة كان يستخدمه Lazarus سابقًا، ثم تم إرسالها مرة أخرى إلى عنوان معروف أنه يتحكم فيه قراصنة CoinEx. لاحظت شركة Elliptic هذا النوع من الخلط بين الأموال من قراصنة مختلفين في حادثة Lazarus، وكان آخرها عندما تم خلط الأموال المسروقة من Stake.com مع الأموال المسروقة من محفظة Atomic. تظهر هذه الحالات من الأموال التي تم جمعها من قراصنة مختلفين باللون البرتقالي في الصورة أدناه.
خمس هجمات في أكثر من 100 يوم
في عام 2022، نُسبت العديد من الاختراقات البارزة إلى Lazarus، بما في ذلك الهجوم على جسر Harmony’s Horizon Bridge والهجوم على جسر Ronin Bridge في Axie Infinity، وكلاهما حدث في النصف الأول من العام الماضي. ومنذ ذلك الحين وحتى يونيو من هذا العام، لم تُنسب علنًا أي سرقات كبرى للعملات المشفرة إلى لازاروس. ولذلك، تشير العديد من هجمات القرصنة على مدار الـ 100 يوم الماضية أو نحو ذلك إلى أن مجموعات القرصنة الكورية الشمالية أصبحت نشطة مرة أخرى.
في 3 يونيو 2023، خسر مستخدمو محفظة العملات المشفرة اللامركزية غير الاحتجازية Atomic Wallet أكثر من 100 مليون دولار. نسبت Elliptic الاختراق رسميًا إلى Lazarus في 6 يونيو 2023، بعد تحديد عوامل متعددة تشير إلى مسؤولية مجموعة قرصنة كورية شمالية، وهو ما أكده مكتب التحقيقات الفيدرالي لاحقًا.
في 22 يوليو 2023، تمكن Lazarus من الوصول إلى محفظة ساخنة تابعة لمنصة مدفوعات العملات المشفرة CoinsPaid من خلال هجوم الهندسة الاجتماعية. سمح هذا الوصول للمهاجم بإنشاء طلبات ترخيص لسحب ما يقرب من 37.3 مليون دولار من الأصول المشفرة من المحفظة الساخنة للمنصة. في 26 يوليو، أصدرت CoinsPaid تقريرًا يدعي أن Lazarus كان مسؤولاً عن الهجوم، وهو ما أكده مكتب التحقيقات الفيدرالي.
وفي نفس اليوم، 22 يوليو، شنت شركة Lazarus هجومًا آخر، استهدف هذه المرة مزود مدفوعات العملات المشفرة المركزي Alphapo، وسرقت 60 مليون دولار من أصول العملات المشفرة. ربما تمكن المهاجم من الوصول عبر مفتاح خاص تم تسريبه مسبقًا. وأكد مكتب التحقيقات الفيدرالي لاحقًا أن لازاروس هو المهاجم في هذا الحادث.
في 4 سبتمبر 2023، تعرضت منصة المقامرة عبر الإنترنت Stake.com للهجوم وتمت سرقة ما يقرب من 41 مليون دولار من العملات المشفرة، ربما بسبب سرقة المفاتيح الخاصة. وأصدر مكتب التحقيقات الفيدرالي (FBI) إعلانًا في 6 سبتمبر، أكد فيه وقوف منظمة "لازاروس" وراء الهجوم.
أخيرًا، في 12 سبتمبر 2023، أصبحت بورصة العملات المشفرة المركزية CoinEx ضحية لهجوم قراصنة وتمت سرقة 54 مليون دولار. كما ذكرنا أعلاه، تشير العديد من الأدلة إلى أن لعازر هو المسؤول عن هذا الهجوم.
لعازر غير "تكتيكاته"؟
يُظهر تحليل آخر نشاط لـ Lazarus أنه منذ العام الماضي حولوا تركيزهم من الخدمات اللامركزية إلى الخدمات المركزية. أربعة من الاختراقات الخمسة الأخيرة التي تمت مناقشتها سابقًا استهدفت مقدمي خدمات الأصول المشفرة المركزية. قبل عام 2020، قبل الصعود السريع لنظام DeFi البيئي، كانت التبادلات المركزية هي الهدف الرئيسي لـ Lazarus.
هناك عدة تفسيرات محتملة لسبب تحويل لازاروس اهتمامه مرة أخرى إلى الخدمات المركزية.
إيلاء المزيد من الاهتمام للأمن: وجدت الأبحاث السابقة التي أجرتها Elliptic حول هجمات قرصنة DeFi في عام 2022 أن الهجوم سيحدث في المتوسط كل أربعة أيام في عام 2022، مع سرقة 32.6 مليون دولار في المتوسط لكل هجوم. أصبحت الجسور عبر السلسلة واحدة من أكثر أنواع بروتوكولات التمويل اللامركزي DeFi التي يتم اختراقها شيوعًا في عام 2022. ربما تكون هذه الاتجاهات قد أدت إلى تحسينات في معايير تدقيق العقود الذكية وتطويرها، مما أدى إلى تضييق نطاق المتسللين لتحديد نقاط الضعف واستغلالها.
القابلية للتأثر بالهندسة الاجتماعية: في العديد من هجمات القرصنة، كانت طريقة الهجوم المفضلة لمجموعة Lazarus هي الهندسة الاجتماعية. على سبيل المثال، كان اختراق Ronin Bridge الذي تبلغ قيمته 540 مليون دولار بمثابة "فجوة" تم العثور عليها من خلال فرص العمل المزيفة على LinkedIn. ومع ذلك، تميل الخدمات اللامركزية إلى عدم وجود عدد كبير من الموظفين، وهي – كما يوحي الاسم – لامركزية بدرجات متفاوتة. ولذلك، فإن الحصول على وصول ضار إلى أحد المطورين قد لا يعني بالضرورة الحصول على حق الوصول الإداري إلى عقد ذكي.
وفي الوقت نفسه، من المرجح أن توظف البورصات المركزية قوة عاملة أكبر نسبياً، وبالتالي توسيع نطاق الأهداف المحتملة. وقد تعمل أيضًا باستخدام أنظمة تكنولوجيا المعلومات الداخلية المركزية، مما يمنح برامج Lazarus الضارة فرصة أكبر لاختراق الأعمال.