Північнокорейські хакери Lazarus： хто стоїть за сумнозвісним зломом Ronin？

Наприкінці березня P2E гра Axie Infinity, що належить мережі Ronin, стала жертвою атаки, у якій втратила понад $600. Злом Ronin був названий найбільшим експлойтом в історії DeFi. Міністерство фінансів США заявило, що за зломом стояли північнокорейські хакери Lazarus.

Це не вперше, коли ці люди були викриті у великій кібер-крадіжці. За останнє десятиліття США поклали вину за кілька подібних пограбувань на хакерів Lazarus. І звісно ж тепер нам цікаво:

Хто такі Lazarus Group?

---

Хакери Lazarus є державними діячами Корейської Народно-Демократичної Республіки. Це група кіберзлочинців, яка здійснила серію атак під керівництвом уряду Північної Кореї. Група діє з 2009 року, але вперше прославилася у 2014 році після компрометації розважальної компанії Sony Pictures. Вони стали ще сумніше відомими через два роки, коли у 2016 році завдали удару по Центральному банку Бангладеш і викрали близько $81 млн.

У 2021 році дослідницька блокчейн-компанія Chainalysis приписала $1,75 млрд вкрадених криптовалют діям синдикату кіберзлочинців, і ця цифра, поза сумнівом, значно зросла з того часу. У 2020 році хакери Lazarus зламали криптобіржу KuCoin і втекли із віртуальною валютою на суму близько $275 млн, що становить половину всієї вкраденої криптовалюти за цей рік.

Цікаво, що хакери Lazarus зазвичай не керуються грошима, що вирізняє їх серед аналогічних злочинних об'єднань. Ці державні діячі викрадають конфіденційну інформацію та здійснюють саботаж та інші протизаконні дії, щоб принести КНДР політичну чи економічну вигоду.

З 2006 року кілька країн об'єдналися з метою запровадження санкцій проти Північної Кореї, щоб приборкати її шалені ядерні амбіції та припинити фінансування її програм зі створення зброї масового знищення (ЗМЗ). У результаті було заборонено експорт різних товарів та імпорт сирої нафти та продуктів нафтопереробки до КНДР.

Однак у звіті ООН раніше цього року члени організації стверджували, що Північна Корея фінансувала себе за рахунок численних кібератак і, можливо, накопичила вкрадених криптоактивів на суму до $400 млн. Повідомляється, що ООН розслідувала не менше 35 експлойтів кіберзлочинців з КНДР.

Експлойт Ronin – найбільше пограбування Lazarus Group на сьогоднішній день. Атака на Центральний банк Бангладеш могла б носити цей титул, оскільки хакери спочатку планували вкрасти $1 млрд. Проте завдяки щасливому випадку вона не увінчалася успіхом. А зараз давайте детальніше розглянемо найбільший хак в історії.

Подробиці експлойту Ronin

---

Геймери можуть вносити валюту, наприклад ETH або стейблкоїн USDC, в обмін на предмети NFT в ігровій валюті. Крім того, це полегшує продаж внутрішньоігрових активів, дозволяючи користувачам виводити кошти. Незабаром після експлойту розробники зупинили всі транзакції у мережі. Хакери викрали 173 600 ETH (приблизно $600 млн) та $25,5 млн, що у сумі становило $625 млн.

Згідно з офіційною заявою команди, зловмисники використали скомпрометовані закриті ключі, які дали їм доступ до вузлів-валідаторів. Блокчейн Ronin складається із дев'яти вузлів-валідаторів, і, щоб завершити транзакцію (депозит або зняття), 5 із них мають дати своє схвалення. Хакери отримали контроль над чотирма валідаторами мережі та підписом стороннього валідатора, яким управляє Axie DAO.

Зловмисники сфальшували зняття коштів за допомогою скомпрометованих закритих ключів і здійснили найбільший злом у криптопросторі.

Як мережа Ronin була зламана

---

Примітно, що розробники Axie Infinity виявили що сталося тільки 29 березня, через 6 днів після атаки. Один із користувачів платформи спробував вивести 5000 ETH з мережі, проте він не зміг цього зробити і тому звернувся до розробників.

Згідно з прес-релізом Sky Mavis, передумови до атаки з'явилися в листопаді 2021 року. Команда потребувала допомоги Axie DAO для розподілу безкоштовних транзакцій після масового напливу користувачів. DAO дозволила (внесла до білого списку) Sky Mavis підписати безліч транзакцій замість себе.

До кінця року в цьому відпала потреба. Проте команда ніколи не відключала доступу. За допомогою безгазового RPC платформи зловмисники знайшли лазівку в системі та роздобули підпис валідатора DAO. Після цього вони злили з платформи понад $600 млн.

Яка була реакція Sky Mavis?

---

Атака привернула увагу команди розробників за шість днів після події. Команда Sky Mavis відразу ж почала негайні кроки, щоб пом'якшити збитки. Тож яких заходів було вжито?

Щоб захиститися від майбутніх експлойтів, одним із перших кроків, зроблених командою Axie Infinity, було збільшення порога валідатора. Розробники ставили питання, чому команда спочатку обрала 5 валідаторів. Збільшивши число до 9, в Sky Mavis пояснили, що початкове рішення було прийнято через те, що деякі вузли були повільнішими або застрягли в процесі синхронізації.

Розробники повідомили, що вони планують розширити набір валідаторів із часом. На додаток до цього Sky Mavis почали перенесення вузлів на зовсім новий фреймворк. Команда також тимчасово закрила міст Ronin. У своєму звіті Sky Mavis відзначили, що вони знову відкриють його, як тільки переконаються, що зловмисники більше не можуть красти гроші.

Крім того, криптобіржа Binance відключила з'єднання з мережею Ronin з питань безпеки. Sky Mavis зв'язалася зі службами безпеки на провідних біржах та заручилася підтримкою Chainalysis для відстеження вкраденої криптовалюти.

Команда заявила, що працює з представниками правоохоронних органів, і запевнила постраждалих користувачів, що вони отримають відшкодування незалежно від того, чи буде повернено кошти.

Як ФБР пов'язало хакерів Lazarus із експлойтом Ronin

---

Два тижні тому Міністерство фінансів США спільно з ФБР наклало санкції на три адреси гаманців, які пов'язали з підтримуваною КНДР Lazarus Group і APT38. Після цього компанія Chainalysis зазначила, що одна з санкційних адрес була пов'язана із вихідним гаманцем, використаним в атаці.

Ці гаманці отримали значну частину вкрадених коштів, які групи безпеки відстежили після експлойту. Розслідування все ще продовжується. За даними Elliptic, хакери відмили близько 18% вкрадених коштів, при цьому $9,7 млн із цих коштів залишаються на гаманцях посередників до відмивання.

Висновок

---

Після злому стало відомо, що ігрова P2E-платформа Axie Infinity зазнає масового відпливу користувачів. Деякі пов'язують втрату з недавнім експлойтом, проте дані показують, що навіть до цього кількість активних користувачів платформи на день (DAU) різко скоротилася з 8 мільйонів до 1 мільйона.

Хоча злом, можливо, і не був головним фактором втрати основної частини користувачів, надалі він, безсумнівно, зіграв свою роль. Швидше за все, у найближчому майбутньому ще більше користувачів покинуть Axie Infinity, оскільки довіра до платформи знижується. Тим не менш, у Sky Mavis запевнили користувачів у відшкодуванні витрат, а раунд фінансування за участю інвесторів Binance, Animoca Brands, Paradigm та інших інвесторів залучив $150 млн.

Також генеральний директор Binance Чанпен “CZ” повідомив у Твіттері, що біржа повернула кошти на суму $5,8 млн, які були надіслані з адреси хакерського гаманця. У координації з Міністерством фінансів та іншими державними установами ФБР висловило намір продовжувати боротьбу із незаконними діяннями КНДР, кіберзлочинністю тощо.

Автор: дослідник Gate.io Olatunji M.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.