价值3700万美元的教训：CoinsPaid是如何被黑客攻击的

利用 DeFi 协议早已成为加密货币领域最流行的犯罪类型，而传统的交易所黑客攻击已经变得不那么频繁了，但网络犯罪分子并没有对传统的数字抢劫失去兴趣。

最近加密支付处理器 CoinsPaid 遭到黑客攻击表明，网络犯罪集团仍然愿意花费大量资源来侵入中心化实体。

CoinsPaid 是一家在爱沙尼亚注册的乌克兰公司，报告称 7 月 22 日遭到黑客攻击，预计加密货币损失达 3730 万美元。

首席执行官 Max Krupyshev（马克斯·克鲁皮舍夫）表示，该公司最终用自有资金向客户退款。

CoinsPaid 在周一发布的对该事件的详细解释中表示，从盗贼的链上行为来看，他们很可能是朝鲜 Lazarus 集团或与之有关联。

Blockchain Intelligence Group 写道，为了从 CoinsPaid 中窃取资金，攻击者使用的钱包包括最近另一起归因于 Lazarus 的攻击中发现的钱包，即 6 月份的Atomic Wallet 黑客攻击。

CoinsPaid 表示，攻击者几个月来一直瞄准 CoinsPaid，最后才成功实施盗窃。钓鱼和社会工程尝试始于 3 月份，其中包括冒充乌克兰加密货币处理初创公司的某人提出的请求，该人向 CoinsPaid 开发人员询问该公司的技术基础设施。

“钓鱼”容易受骗的员工

攻击者还试图贿赂 CoinsPaid 员工，并针对该公司的服务器进行分布式拒绝服务 (DDOS) 攻击。

7 月份，几名员工冒充其他加密货币公司的招聘人员，从 LinkedIn 帐户收到了利润丰厚的工作机会。“例如，我们的一些团队成员收到了每月 16,000 至 24,000 美元薪酬的工作机会，”博文称。

在进行初步接触后，假冒招聘人员要求员工安装 JumpCloud或其他软件，大概是为了执行测试任务。几名员工上当并安装了恶意软件，之后攻击者就获得了 CoinsPaid 基础设施的访问权限。

CoinsPaid 首席财务官 Pavel Kashuba 在 7 月 21 日周五晚上的欧洲时段，攻击者访问了 CoinsPaid 的区块链节点，并请求大量提取基于 Tron 的 USDT、比特币和在以太坊区块链上运行的几种 ERC20 代币，攻击的活跃阶段持续了大约 4 小时 23 分钟。

首席执行官 Max Krupyshev 表示，虽然窃贼可以自由访问公司的服务器，但他们并没有泄露 CoinsPaid 钱包的私钥：“我们一关闭服务器，转账就停止了。当该公司推出具有相同钥匙的新钱包时，这些钱包并没有被耗尽，这证实了钥匙是安全的。”

无法阻止此操作

无论如何，CoinsPaid 还是赔钱了。

大部分被盗资金以 Tron 区块链上的 USDT 形式，通过跨链桥在 Avalanche 上兑换成 USDT，然后发送到去中心化交易所 SwftSwap。

根据事后博客文章，攻击者还使用了去中心化交易所 Uniswap 和 SunSwap，以及中心化​​交易所 Binance、Huobi、Kucoin、Bybit、Bitget 和 MEXC。

比特币是通过 Sindbad 混合器进行洗钱的，而该混合器是朝鲜黑客最喜欢的混合器。

CoinsPaid 表示，尽管及时通知了中心化交易所将资金转移到他们这里，但在标记与犯罪有关的地址并由交易所采取行动的过程中遇到了困难，无法赶上黑客的步伐。

黑客仅用几分钟就成功兑现了资金。

对于执法机构在说服交易所冻结涉嫌犯罪账户方面的缓慢进展，Kashuba 感到失望，他还指出，交易所的底线是要注重数字安全并充分培训员工，这适用于各种网络犯罪。