(https://i.postimg.cc/90RGngNX/Corea-del-norte.png) (https://postimages.org/)
Se sospecha que el grupo Lazarus APT, vinculado a Corea del Norte, está detrás del reciente ataque al puente Harmony Horizon.
Recientemente, los actores de amenazas han robado USD 100 millones en criptomonedas de la empresa Blockchain Harmony. La compañía reportó el incidente a las autoridades, el FBI está investigando el robo cibernético con la ayuda de varias firmas de ciberseguridad.
Horizon Bridge de Harmony permite a los usuarios transferir sus activos criptográficos de una cadena de bloques a otra, la compañía detuvo inmediatamente el puente para evitar más transacciones y notificó a otros intercambios.
La compañía también ofrece una recompensa de $1 millón a cambio de la devolución de los fondos.
La firma de seguridad de blockchain CertiK publicó un análisis detallado del incidente, confirmó que los actores de la amenaza pudieron acceder a los propietarios de las billeteras multiSig de Horizon y luego drenaron los fondos de Harmony.
"El 23 de junio de 2022 a las 11:06:46 a. m. + UTC, el puente entre la cadena Harmony y Ethereum experimentó múltiples vulnerabilidades. Nuestro análisis experto ha identificado doce transacciones de ataque y tres direcciones de ataque".
"A través de estas transacciones, el atacante obtuvo varios tokens en el puente, incluidos ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH y FRAX. Las transacciones varían en valor, pero oscilan entre $49,178 y más de $41,200,000.
El atacante logró esto al controlar de alguna manera al propietario de MultiSigWallet para llamar a confirmTransaction() directamente para transferir grandes cantidades de tokens desde el puente en Harmony, lo que provocó una pérdida total de alrededor de $ 97 millones en activos en la cadena Harmony que el atacante se ha consolidado en una dirección principal."
El 27 de junio, los actores de amenazas detrás del culpable del atraco cibernético comenzaron a transferir los fondos (aproximadamente $ 39 millones) a través del servicio mezclador Tornado Cash para lavar las ganancias ilícitas.
La buena noticia es que la firma de seguridad de blockchain Elliptic pudo analizar las transacciones incluso después del uso del servicio de mezclador.
Según Elliptic, Lazarus APT, vinculado a Corea del Norte, estaba detrás del ataque.
"Existen fuertes indicios de que el Grupo Lazarus de Corea del Norte puede ser responsable de este robo, según la naturaleza del ataque y el posterior lavado de los fondos robados. Se cree que Lazarus robó más de $ 2 mil millones en criptoactivos de los intercambios y los servicios DeFi". "El robo se perpetró comprometiendo las claves criptográficas de una billetera de múltiples firmas, probablemente a través de un ataque de ingeniería social a los miembros del equipo de Harmony. Estas técnicas han sido utilizadas con frecuencia por el Grupo Lazarus".
Según la firma, los atacantes comprometieron las claves criptográficas de una billetera de múltiples firmas, probablemente a través de un ataque de ingeniería social dirigido a los miembros del equipo de Harmony.
Los investigadores de Elliptic señalaron que los períodos relativamente cortos durante los cuales los fondos robados dejan de sacarse del efectivo de Tornado son consistentes con las horas nocturnas en la zona horaria de Asia-Pacífico.
"La regularidad de los depósitos en Tornado durante largos períodos de tiempo sugiere que se está utilizando un proceso automatizado. Hemos observado un lavado programático muy similar de fondos robados del Puente Ronin, que se ha atribuido a Lazarus, así como una serie de otros ataques vinculados al grupo". concluye la publicación.
Desde entonces, Harmony notificó a todos los intercambios de criptomonedas e involucró a las fuerzas del orden y firmas forenses de blockchain para ayudar en la recuperación de activos robados. También ofrece "una última oportunidad" para que los ladrones cibernéticos devuelvan los fondos de forma anónima y "retengan $10 millones y devuelvan el monto restante" antes del 4 de julio de 2022 a las 11 p.m. GMT.
Fuente:
SecurityAffairs
https://securityaffairs.co/wordpress/132759/hacking/harmony-hack-lazarus-apt.html