Дослідження безпеки в ланцюзі знову з'являється, операції гарячого гаманця BitoPro викликають зовнішні занепокоєння.

Блокчейн-розслідувач ZachXBT нещодавно виявив підозрілий великий інцидент безпеки в спільноті, вказавши на те, що тайваньська криптовалютна біржа BitoPro може зіткнутися з виведенням капіталу 8 травня 2025 року, що стосується суми до 11.5 мільйонів доларів. Він спостерігав аномальні рухи коштів у гарячих гаманцях BitoPro в мережах Ethereum, Tron, Solana та Polygon, і ці кошти були обміняні через децентралізовані біржі, перш ніж бути направленими до анонімних торгових інструментів, таких як Tornado Cash, або переведеними через мережі в основну мережу Bitcoin через Thorchain і збереженими в Wasabi, що свідчить про потенційні дії з відмивання грошей.

Токен платформи BITO різко впав, і спільнота користувачів стурбована безпекою активів.

Після розголосу новини токен платформи BitoPro $BITO впав більш ніж на 8% за один день. Спільнота користувачів висловила питання щодо достовірності події та реакції платформи, особливо з огляду на те, що ZachXBT зазначив, що BitoPro на той момент лише назвав це «обслуговуванням системи» і не повідомив своєчасно про конкретну ситуацію підозрюваного зламу через офіційні канали, що ще більше поглибило занепокоєння на ринку.

(Джерело зображення: BitoPro)

Кібербезпекова компанія втрутилася в розслідування, і платформа активувала свій механізм реагування.

У відповідь на зовнішні сумніви, BitoPro випустив офіційну заяву, в якій визнав, що зазнав хакерської атаки під час оновлення свого гарячого гаманця та передачі активів. Платформа зазначила, що негайно активувала заходи екстреного реагування в момент інциденту, швидко перенісши залишкові активи до нового гарячого гаманця, а також заблокувавши підозрілі дії та доручивши сторонній компанії з кібербезпеки допомогти в комплексному розслідуванні та відстеженні місцезнаходження хакера. BitoPro підкреслив, що його загальні резерви активів є достатніми, і більшість цифрових активів зберігаються в офлайн холодних гаманцях, які не постраждали від цього інциденту.

Підозрюється, що пов'язано з міжнародною хакерською організацією

Згідно з спільним аналізом його внутрішньої команди з кібербезпеки та третіх сторін, метод атаки має високу схожість з кількома попередніми глобальними інцидентами в сфері кібербезпеки і підозрюється, що це справа notorious північнокорейської хакерської групи Lazarus Group, яка була залучена до кількох незаконних SWIFT-переведень з багатонаціональних фінансових установ, а також до інцидентів великомасштабного викрадення активів на криптовалютних платформах, що демонструє високий рівень технічної майстерності та оперативної прихованості.

Соціальна інженерія проникає в права доступу до хмари, націлюючись на операційні вузли для здійснення атак.

Хакер використав соціальну інженерію як точку входу, щоб націлитися на інженера, відповідального за підтримку хмарної інфраструктури, успішно імплантувавши троянський вірус і обійшовши кілька механізмів захисту, включаючи виявлення кінцевих точок, антивірусні програми та системи сповіщення про безпеку в хмарах. Потім вони залишалися в тіні протягом тривалого часу, щоб спостерігати за робочою поведінкою інженера. Під час цього процесу зловмисник перехопив токен сесії AWS інженера, успішно обійшовши багатофакторну аутентифікацію (MFA), і надіслав шкідливі скрипти в хмарне середовище через контрольну точку C2, зрештою направивши атаку на хост гарячого гаманця.

Заблокуйте час для планування активів платформи, багатоцільові активи були вкрадені та передані.

Під час атаки платформа проходила оновлення гаманця та розподіл коштів. Хакер скористався нагодою, щоб активувати попередньо розгорнутий скрипт, імітуючи щоденний легітимний процес операцій, і швидко незаконно перевів активи з таких мереж, як Ethereum, Tron, Solana та Polygon, на загальну суму приблизно 11,5 мільйона доларів. Активи були конвертовані та замасковані за допомогою децентралізованих інструментів, таких як Tornado Cash та Thorchain, а потім крос-ланцюгом до мережі Bitcoin, врешті-решт потрапивши в змішувальні сервіси, такі як Wasabi Wallet, ще більше приховуючи джерело коштів.

Подія перейшла у судове розслідування, гаманець був відновлений і став публічним та прозорим.

Інцидент тепер повністю передано судовим органам для кримінального розслідування та відстеження. Платформа також ініціювала комплексну перевірку безпеки, відновлюючи інфраструктуру гаманців. Користувачі тепер можуть переглядати останній статус розгортання гарячого гаманця BitTrust через платформу Arkham. Платформа обіцяє постійно підвищувати рівні безпеки в майбутньому та посилювати моніторинг операційних дозволів і запобігання аномальним поведінкам, щоб запобігти повторенню подібних інцидентів.

Останній статус розгортання гарячих гаманців Bit托:https://intel.arkm.com/explorer/entity/bitopro

Якщо ви хочете дізнатися більше про контент Web3, натисніть, щоб зареєструватися:https://www.gate.com/

Резюме

У криптовалютному ринку безпека активів завжди є найосновнішою обіцянкою торгових платформ. Інцидент з BitoPro нагадує всім практикам і користувачам, що багато рівневе управління гарячими та холодними гаманцями та прозорість інформації будуть вирішальними для безпеки цифрових активів у майбутньому. Цей інцидент, безсумнівно, спонукатиме до всебічного перегляду заходів захисту безпеки бірж у спільноті ще раз.