
Dự án trong hệ sinh thái Blast bị đánh cắp 60 triệu USD, tin tặc Triều Tiên đã "nắm vững" kỹ thuật xã hội
Tuyển chọn TechFlowTuyển chọn TechFlow

Dự án trong hệ sinh thái Blast bị đánh cắp 60 triệu USD, tin tặc Triều Tiên đã "nắm vững" kỹ thuật xã hội
Ngoài việc làm gián điệp xâm nhập vào nhóm, tin tặc còn giả danh khách hàng và nhà tuyển dụng để tiếp cận các lập trình viên.
Tác giả: Joyce
Đội ngũ bị tin tặc Triều Tiên ẩn nấp, dự án trên hệ sinh thái Blast mất 60 triệu USD
Sáng nay, dự án game Munchables thuộc hệ sinh thái Blast thông báo đã bị tấn công. Theo dữ liệu từ PeckShield, hợp đồng khóa của Munchables có vấn đề, khiến 17.400 ETH (tương đương khoảng 62,3 triệu USD) bị đánh cắp.

Theo điều tra của thám tử chuỗi khối ZachXBT, cuộc tấn công này bắt nguồn từ một nhà phát triển giao thức Munchables – chính là một tin tặc Triều Tiên. Dư Huyền, người sáng lập SlowMist, bình luận trên mạng xã hội rằng: "Đây ít nhất là vụ thứ hai dạng này mà SlowMist từng gặp phải trong các dự án DeFi. Nhà phát triển lõi giả mạo, ẩn nấp lâu dài, giành được niềm tin của toàn bộ đội ngũ dự án, rồi khi thời cơ đến thì ra tay không chút thương xót. Có lẽ sẽ còn nhiều nạn nhân khác nữa."

Chiêu bài quen thuộc của tin tặc Triều Tiên: Tấn công vào lòng tin của đội ngũ phát triển
Tin tặc Triều Tiên có lẽ là nhóm đáng sợ nhất trong lĩnh vực tiền mã hóa. Báo cáo từ công ty an ninh mạng Recorded Future cho biết, tổ chức tin tặc nổi tiếng nhất Triều Tiên - Lazarus Group - đã đánh cắp tổng cộng 3 tỷ USD tiền mã hóa trong 6 năm qua; riêng năm 2022, nhóm này đã chiếm đoạt 1,7 tỷ USD.
Khác với những hacker khai thác lỗ hổng kỹ thuật trong giao thức, tin tặc Triều Tiên thường nhắm mục tiêu vào đội ngũ phát triển đằng sau các giao thức — lợi dụng sự tin tưởng và chờ thời cơ để trộm cắp, giống như trường hợp tấn công Munchables lần này.
Nhóm an ninh Google từng phát hiện vào năm 2021 rằng, Lazarus Group thường xuyên ẩn mình lâu dài trên các nền tảng như Twitter, LinkedIn, Telegram, sử dụng danh tính giả làm chuyên gia nghiên cứu lỗ hổng tích cực trong ngành, tạo dựng niềm tin để sau đó phát động tấn công 0day vào các nhà nghiên cứu khác.
Các nhà nghiên cứu từ công ty bảo mật Mandiant Inc. từng tiết lộ họ phát hiện vào năm 2022 hồ sơ của một ứng viên nghi là tin tặc Triều Tiên, có thông tin gần như giống hệt các ứng viên thật. Tin tặc đã thành thạo việc sao chép thông tin tuyển dụng từ LinkedIn và Indeed để ứng tuyển vào các công ty tiền mã hóa tại Mỹ.
Ngoài việc giả làm nhà phát triển xâm nhập đội ngũ, tin tặc Triều Tiên còn giả dạng khách hàng hoặc nhà tuyển dụng để tiếp cận các lập trình viên.
Vụ việc Ronin — sidechain của trò chơi Axie Infinity bị mất 600 triệu USD vào năm 2022 — là vụ đánh cắp lớn nhất lịch sử tiền mã hóa. Ban đầu, đội Ronin xác định nguyên nhân là do các nút xác thực bị tấn công, nhưng điều tra sau đó tiết lộ rằng tổ chức tin tặc Lazarus Group đã giả mạo một công ty, dùng danh nghĩa tuyển dụng lương cao trên LinkedIn để liên hệ với một kỹ sư cấp cao của Sky Mavis — nhà phát triển Axie Infinity.
Trước mức lương hấp dẫn, kỹ sư cấp cao của Axie Infinity tỏ ra quan tâm đến "cơ hội việc làm" này và trải qua nhiều vòng "phỏng vấn". Trong một buổi "phỏng vấn", kỹ sư nhận được một tệp PDF chứa chi tiết về công việc.
Tuy nhiên, tệp này thực chất mở ra lối vào hệ thống Ronin. Nhân viên này tải và mở tệp trên máy tính công ty, kích hoạt một chuỗi nhiễm độc, cho phép tin tặc xâm nhập hệ thống Ronin, kiểm soát bốn bộ xác thực token và một bộ xác thực Axie DAO.
Loại hình tấn công này được gọi là APT. Hệ thống MistTrack của SlowMist từng tóm tắt phương pháp này: kẻ tấn công trước tiên giả danh, vượt qua kiểm duyệt bằng xác minh danh tính thật để trở thành khách hàng hợp lệ, sau đó gửi tiền thật. Dưới lớp vỏ khách hàng, khi nhiều nhân viên chính thức liên lạc với "khách hàng" (kẻ tấn công), phần mềm độc hại tùy chỉnh cho Mac hoặc Windows sẽ nhắm mục tiêu chính xác vào những nhân viên này. Sau khi có quyền truy cập, chúng di chuyển ngang trong mạng nội bộ, ẩn nấp lâu dài rồi mới đánh cắp tài sản.
Quay lại sự việc lần này, sau khi Munchables thông báo bị tấn công, các giao thức DeFi trong hệ sinh thái Blast có liên kết với Munchables tuyên bố đang đánh giá thiệt hại từ lỗ hổng này. May mắn là tin tặc chỉ đánh cắp ETH, còn WETH người dùng gửi vào chưa bị ảnh hưởng. Một giao thức khác trong hệ sinh thái Blast cũng tuyên bố sẽ airdrop điểm thưởng cho những người chịu ảnh hưởng từ vụ tấn công Munchables.
CoderDan, người sáng lập Aavegotchi, sau đó đăng trên mạng xã hội: "Đội phát triển Pixelcraft Studios của Aavegotchi từng thuê ngắn hạn thủ phạm vụ tấn công Munchables để thực hiện một số công việc phát triển game vào năm 2022. Kỹ năng của anh ta rất kém, đúng kiểu một tin tặc Triều Tiên; chúng tôi đã sa thải anh ta trong vòng một tháng. Anh ta còn cố thuyết phục chúng tôi thuê một người bạn, rất có thể cũng là tin tặc."
CoderDan cũng cung cấp địa chỉ thường dùng của tin tặc khi làm việc tại Pixelcraft Studios cho đội ngũ Munchables, hy vọng các manh mối này có thể giúp họ truy tìm lại tài sản.
Trong khu rừng tối của thế giới tiền mã hóa, những mối nguy tiềm ẩn luôn rình rập và không thể phòng tránh hoàn toàn. Dù là người dùng hay bên vận hành dự án, đều cần cảnh giác cao độ và chuẩn bị đầy đủ các biện pháp an ninh.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










