Северокорейские хакеры Lazarus： кто стоит за печально известным взломом Ronin？

В конце марта P2E игра Axie Infinity, которая принадлежит сети Ronin, стала жертвой атаки, в которой потеряла более $600. Взлом Ronin был назван крупнейшим эксплойтом в истории DeFi. Министерство финансов США заявило, что за взломом стояли северокорейские хакеры Lazarus.

Это не первый раз, когда эти люди были уличены в большой кибер-краже. За последнее десятилетие США возложили вину за несколько подобных ограблений на хакеров Lazarus. И конечно же теперь нам интересно:

Кто такие Lazarus Group?

Хакеры Lazarus являются государственными деятелями Корейской Народно-Демократической Республики. Это группа киберпреступников, которая осуществила серию атак под руководством правительства Северной Кореи. Группа действует с 2009 года, но впервые прославилась в 2014 году после компрометации развлекательной компании Sony Pictures. Они стали ещё более печально известными два года спустя, когда в 2016 году нанесли удар по Центральному банку Бангладеш и выкрали около $81 млн.

В 2021 году исследовательская блокчейн-компания Chainalysis приписала $1,75 млрд украденных криптовалют действиям синдиката киберпреступников, и эта цифра, несомненно, значительно выросла с тех пор. В 2020 году группа Lazarus взломала криптобиржу KuCoin и скрылась с виртуальной валютой на сумму около $275 млн, что составляет половину всей украденной криптовалюты за этот год.

Интересно, что хакеры Lazarus обычно не руководствуются деньгами, что отличает их от аналогичных преступных объединений. Эти государственные деятели похищают конфиденциальную информацию и совершают саботаж и другие противозаконные действия, чтобы принести КНДР политическую или экономическую выгоду.

С 2006 года несколько стран объединились с целью введения санкций против Северной Кореи, чтобы обуздать её безумные ядерные амбиции и прекратить финансирование её программ по созданию оружия массового уничтожения (ОМУ). В результате был запрещён экспорт различных товаров и импорт сырой нефти и продуктов нефтепереработки в КНДР.

Однако в отчёте ООН ранее в этом году члены организации утверждали, что Северная Корея финансировала себя за счёт многочисленных кибератак и, возможно, накопила украденных криптоактивов на сумму до $400 млн. Сообщается, что ООН расследовала не менее 35 эксплойтов киберпреступников из КНДР в 17 странах.

Эксплойт Ronin — крупнейшее ограбление Lazarus Group на сегодняшний день. Атака на Центральный банк Бангладеш могла бы носить этот титул, поскольку хакеры изначально планировали украсть $1 млрд. Однако по счастливой случайности она не увенчались успехом. А сейчас давайте более подробно рассмотрим самый крупный хак в истории.

Подробности эксплойта Ronin

Команда разработчиков Sky Mavis подтвердила в Твиттере, что 23 марта в блокчейне игры Axie Infinity Ronin образовалась брешь в системе безопасности. Мост Ronin обеспечивает межсетевое взаимодействие на платформе.

Геймеры могут вносить валюту, например, ETH или стейблкоин USDC, в обмен на предметы NFT в игровой валюте. Кроме того, это облегчает продажу внутриигровых активов, позволяя пользователям выводить средства. Вскоре после эксплойта разработчики остановили все транзакции в сети. Хакеры похитили 173 600 ETH (примерно $600 млн) и $25,5 млн, что в сумме составило $625 млн.

Согласно официальному заявлению команды, злоумышленники использовали скомпрометированные закрытые ключи, которые дали им доступ к узлам-валидаторам. Блокчейн Ronin состоит из девяти узлов-валидаторов, и, чтобы завершить транзакцию (депозит или снятие), 5 из них должны дать свое одобрение. Хакеры получили контроль над четырьмя валидаторами сети и подписью стороннего валидатора, которым управляет Axie DAO.

Злоумышленники сфальсифицировали снятие средств с помощью скомпрометированных закрытых ключей и осуществили крупнейший взлом в криптопространстве.

Как сеть Ronin была взломана

Примечательно, что разработчики Axie Infinity обнаружили что произошло только 29 марта, через 6 дней после атаки. Один из пользователей платформы попытался вывести 5000 ETH из сети, однако он не смог этого сделать и поэтому обратился к разработчикам.

Согласно пресс релизу Sky Mavis, предпосылки к атаке появились в ноябре 2021 года. Команда нуждалась в помощи Axie DAO для распределения бесплатных транзакций после массового наплыва пользователей. DAO разрешила (внесла в белый список) Sky Mavis подписать множество транзакций вместо себя.

К концу года в этом отпала необходимость. Однако команда никогда не отключала доступ. С помощью безгазового RPC платформы злоумышленники нашли лазейку в системе и заполучили подпись валидатора DAO. После этого они слили с платформы более $600 млн.

Какой была реакция Sky Mavis?

Атака привлекла внимание команды разработчиков через шесть дней после происшествия. Команда Sky Mavis сразу же предприняла немедленные шаги, чтобы смягчить ущерб. Так какие же меры были приняты?

Чтобы защититься от будущих эксплойтов, одним из первых шагов, которые предприняла команда Axie Infinity, было увеличение порога валидатора. Разработчики задавались вопросом, почему команда изначально выбрала 5 валидаторов. Увеличив число до 9, в Sky Mavis пояснили, что первоначальное решение было принято из-за того, что некоторые узлы были более медлительны или застряли в процессе синхронизации.

Разработчики сообщили, что они планируют расширить набор валидаторов с течением времени. Вдобавок к этому Sky Mavis начали перенос узлов на совершенно новый фреймворк. Команда также временно закрыла мост Ronin. В своем отчёте Sky Mavis отметили, что они снова откроют его, как только убедятся, что злоумышленники больше не могут красть средства.

Кроме того, в целях безопасности криптобиржа Binance отключила соединение с сетью Ronin. Sky Mavis связалась со службами безопасности на ведущих биржах и заручилась поддержкой Chainalysis для отслеживания украденной криптовалюты.

Команда заявила, что работает с представителями правоохранительных органов, и заверила пострадавших пользователей, что они получат возмещение независимо от того, будут ли возвращены средства.

Как ФБР связало хакеров Lazarus с эксплойтом Ronin

Две недели назад Министерство финансов США совместно с ФБР наложило санкции на три адреса кошельков, которые связали с поддерживаемой КНДР Lazarus Group и APT38. После этого компания Chainalysis отметила, что один из санкционных адресов был связан с исходным кошельком, использованным в атаке.

Эти кошельки получили значительную часть украденных средств, которые группы безопасности отследили после эксплойта. Расследование всё ещё продолжается. По данным Elliptic, хакеры отмыли около 18% украденных средств, при этом $9,7 млн ​​из этих средств остаются на кошельках посредников до отмывания.

Заключение

После взлома стало известно, что игровая P2E-платформа Axie Infinity испытывает массовый отток пользователей. Некоторые связывают потерю с недавним эксплойтом, однако данные показывают, что даже до этого количество активных пользователей платформы в день (DAU) резко сократилось с 8 миллионов до всего лишь 1 миллиона.

Хотя взлом, возможно, и не был главным фактором потери основной части пользователей, в дальнейшем он, несомненно, сыграл свою роль. Скорее всего в ближайшем будущем ещё больше пользователей покинут Axie Infinity, поскольку доверие к платформе снижается. Тем не менее, в Sky Mavis заверили пользователей в возмещении расходов, а раунд финансирования с участием инвесторов Binance, Animoca Brands, Paradigm и других инвесторов привлек $150 млн.

Также генеральный директор Binance Чанпэн “CZ” сообщил в Твиттере, что биржа вернула средства на сумму $5,8 млн, которые были отправлены с адреса кошелька хакера. В координации с Министерством финансов и другими государственными учреждениями ФБР выразило намерение продолжать борьбу с незаконными деяниями КНДР, киберпреступностью и т. д.

Автор: исследователь Gate.io Olatunji M.
Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию. Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.