BitoPro集團幣託交易所驚傳在5月遭到駭客攻擊,遭竊超過千萬美元資產,當下攻擊調查報告出爐。
(前情提要:幣託BitoPro回應駭客攻擊!5月轉移熱錢包遭竊,儲備充足完全不影響營運 )
(背景補充:ZachXBT:幣託BitoPro疑在5月8日遭駭客攻擊損失1150萬美元 )
本土加密交易平排幣託BitoPro在5月爆發遭駭事件,在該公司轉移熱錢包時共有 1150 萬美元加密資產遭竊轉出,今日(19)幣託公告調查結果,稱是北韓之名駭客組織「拉撒路集團」(Lazarus Group)所為,後續由檢警持續追查。
幣託公告稱,遭駭經近一個月的調查後,根據幣託資安團隊與第三方專業機構於6月11日聯合出具的鑑識報告指出,初步排除內部人員涉案,該攻擊手法與過往多起國際重大案件模式相似,包含全球多間銀行SWIFT系統非法轉帳案及國際大型加密貨幣交易所資產盜竊事件,皆為北韓駭客組織『拉撒路集團』(Lazarus Group)所為。
幣託公告駭客手法
幣託在公告內說明了被駭經過,開頭也是經由打擊單點員工的「社交工程攻擊」:
駭客透過對一名負責雲端作業的同仁進行社交工程攻擊,成功植入木馬程式,繞過、端點防護、防毒及雲端安全偵測等防護系統,並潛伏於該工程同仁電腦中,觀察其日常操作行為,以規避資安人員的例行監控。駭客劫持 AWS Session Token 繞過多重身份驗證 (MFA),在 AWS 環境中透過C2伺服器發送指令,將惡意腳本悄悄移轉至熱錢包主機,伺機發動攻擊。
駭客經過長時間觀察,鎖定平台進行錢包系統升級與資產移轉作業期間,模擬日常操作行為發動攻擊。5 月 9 日凌晨 1 時左右,駭客啟動惡意腳本,模擬合法交易,自熱錢包非法轉移加密貨幣。直到錢包水位監控系統偵測到異常並發出警示後,資安團隊即刻啟動應變機制,包含緊急關閉熱錢包系統、更換所有關聯金鑰、隔離並重建受影響系統與終端設備、擴大監控並持續追蹤異常行為,進一步阻斷駭客行為。
幣託稱,目前該事件已移交由刑事單位偵辦與鑑識中,平台已於第一時間重新檢查,並重建錢包系統,並於 5 月 19 日將熱錢包地址主動提供給鏈上數據追蹤平台 Arkham,以更新平台水位等相關數據。
截至 6 月 19 日,該頁面已更新部分錢包地址 (https://intel.arkm.com/explorer/entity/bitopro) ,幣託用戶可前往查閱。
幣託呼籲業界提高警覺,未來也將持續強化平排資安技術與管理流程,並積極交流經驗。
