Nordkoreanske hackere stjål $293 millioner i krypto – og brugte offerets eget system til at hvidvaske pengene

Nordkoreanske hackere udnytter kryptosystem til omfattende tyveri og hvidvask

Den nordkoreanske stat har i løbet af mindre end tre uger stjålet 579 millioner dollars fra kryptovaluta-applikationer på tværs af flere blockchains. Det seneste og største offer er Kelp DAO, der mistede 293 millioner dollars i et sofistikeret cyberangreb.

Hackerne udnyttede en sårbarhed i LayerZero, en populær applikation til overførsel af kryptovaluta mellem forskellige blockchains. Ved at kompromittere systemet sendte de en falsk transaktionsbesked, der fik applikationen til at frigive midlerne direkte til dem. Men angrebet stoppede ikke her.

Dage senere vendte hackerne tilbage og brugte samme system, LayerZero, til at hvidvaske en del af de stjålne midler. Ifølge on-chain data har de allerede flyttet mindst 500.000 dollars gennem platformen for at skjule pengenes oprindelse.

Dette er det første dokumenterede tilfælde, hvor den samme applikation både har været angrebsvektor og blevet brugt til at hvidvaske de stjålne midler. LayerZero har endnu ikke kommenteret sagen.

Angrebene bliver mere organiserede og professionelle

Nordkoreanske hackere har i næsten et årti været en konstant trussel mod kryptobranchen. Men de seneste års angreb er blevet mere organiserede, teknisk avancerede og økonomisk skadelige end nogensinde før.

I 2023 lykkedes det eksempelvis nordkoreanske hackere at stjæle 1,5 milliarder dollars fra kryptobørsen Bybit ved at kompromittere medarbejdere hos Safe, Bybits wallet-leverandør.

"Vi ser, at disse aktører behandler exploits som standardiserede forretningsoperationer. De genbruger infrastruktur og udnytter transaktionskorridorer med en effektivitet, der ligner en global virksomhed," siger Matt Price, vicepræsident for efterforskning hos kryptosikkerhedsfirmaet Elliptic.

Eksperter kalder på øjeblikkelige sikkerhedsforanstaltninger

Sikkerhedsforskere opfordrer nu udviklere til at styrke deres forsvarsmekanismer markant. Yajin Zhou, medstifter af blockchain-sikkerhedsfirmaet BlockSec, understreger, at sikkerhed ikke længere kun handler om koden i protokollen:

"Operational sikkerhed er nu lige så kritisk som kodesikkerhed. Hvis de operationelle processer er svage, bliver kodesikkerheden irrelevant."

David Schwed, COO hos SVRN og tidligere leder af BNY Mellons digitale aktiver, tilføjer:

"Projekter bør ansætte erfarne informationssikkerhedschefer og give dem fuld myndighed til at opbygge robuste sikkerhedssystemer med eksperthold."

Kryptosikkerhedsfirmaet Halborn advarer desuden mod projekter, der skaber enkeltpunkter for svigt, som hackere kan udnytte til katastrofale følger.

Hvidvaskning gennem lagdelte transaktioner

Hackere kan ikke blot sende stjålne kryptovalutaer direkte til en børs for at indløse dem – det ville blive opdaget og konfiskeret. I stedet benytter de sig af komplekse hvidvaskningsmetoder, hvor midlerne opdeles i små beløb og sendes gennem adskillige wallets og blockchains for at skjule sporene.

Netop her kommer LayerZero ind i billedet. Hackerne brugte platformen til at flytte en del af de stjålne midler fra Arbitrum (en Layer 2-blockchain) til Tron, hvilket gør det sværere at spore pengenes oprindelse.

Sikkerhedseksperter opfordrer udviklere til at implementere systemer, der blokerer wallets, der mistænkes for at være involveret i kriminalitet. Dette kræver imidlertid en proaktiv tilgang og løbende overvågning af transaktioner.

En vedvarende trussel kræver kollektiv handling

Nordkoreas cyberkriminalitet udgør ikke blot en økonomisk trussel, men underminerer også tilliden til hele kryptobranchen. Med angreb, der bliver stadig mere sofistikerede, er det afgørende, at udviklere, sikkerhedseksperter og myndigheder arbejder sammen for at lukke hullerne og beskytte brugerne.