Análisis del incidente de seguridad de Bitrefill y seguimiento del flujo de fondos robados

El 17 de marzo, Bitrefill reveló oficialmente un ciberataque ocurrido el 1 de marzo. La técnica de ataque presenta muchas similitudes con los ataques previos del Lazarus Group / BlueNoroff contra otras empresas del sector de activos criptográficos. El equipo de seguridad de Beosin, combinando inteligencia de amenazas recopilada y la información pública de Bitrefill, realizó un análisis de las técnicas de ataque y el seguimiento de fondos, compartiendo los resultados a continuación:

Análisis de las técnicas de ataque

Según lo divulgado por Bitrefill, el ataque inicial consistió en infiltrarse en la computadora portátil de un empleado y robar credenciales de versiones antiguas,

Permiso de acceso a la billetera: exportaron en masa 18,500 registros de pedidos, incluyendo correos electrónicos de usuarios, direcciones de criptomonedas y IPs; además, falsificaron el inventario de tarjetas de regalo consumidas en compras.

Seguimiento de fondos robados

Combinando inteligencia de amenazas y datos de transacciones en la cadena, Beosin, a través de su plataforma de investigación y seguimiento en la cadena de bloques Beosin Trace, realizó un seguimiento exhaustivo de los fondos perdidos relacionados con Bitrefill y compartió los resultados a continuación:

Actualmente, Beosin ha identificado 3 direcciones sospechosas relacionadas con el incidente de hackers de Bitrefill:

0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763

0x3d79f9012a13fe7948daaee3b8e9118371450d69

TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

El flujo de fondos se muestra en la siguiente imagen:

Análisis del flujo de fondos robados por Beosin Trace

De estas direcciones, la 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763 transfirió 174 ETH a Tornado Cash. Debido a la dificultad de rastrear fondos en protocolos de mezclado como Tornado Cash, Beosin, basándose en su experiencia en casos de lavado de dinero mediante mezcladores, realiza un análisis multidimensional de las transacciones completas, incluyendo la secuencia temporal, características de los montos y patrones de comportamiento. Utilizando su algoritmo de seguimiento inteligente desarrollado internamente, logró penetrar en la cadena de fondos de esta mezcla y localizar la dirección de salida: 0x3d79f9012a13fe7948daaee3b8e9118371450d69.

Luego, esta dirección intercambió ETH en la cadena TRON mediante un puente cross-chain, convirtiendo 179 ETH en 413,763.75 USDT. Actualmente, esta dirección, TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R, tiene un saldo acumulado de 575,212.91 USDT.

Todas estas direcciones han sido marcadas como de alto riesgo por Beosin KYT, como se muestra en el ejemplo de la dirección: