Gli hacker nordcoreani legati allo stato, noti come Lazarus, sono sospettati di aver rubato criptovalute dal South Korean exchange Upbit . Le autorità sudcoreane hanno dichiarato che i prelievi non autorizzati ammontavano a circa 30 milioni di dollari. L’exchange ha rilevato il ritiro di giovedì e ha iniziato a collaborare con i regolatori per identificare la fonte della violazione. Gli investigatori che hanno esaminato l’evento hanno dichiarato che il metodo utilizzato nell’intrusione ricorda un precedente attacco a Upbit nel 2019.
Gli hacker hanno rimosso asset digitali dall’exchange e trasferito i fondi attraverso diversi portafogli di criptovalute. Il rapido movimento dei fondi rubati ha reso difficile recuperare i beni. Il modello di movimento osservato dopo il furto riflette comportamenti descritti in precedenti casi collegati a Lazarus, inclusi trasferimenti rapidi tra portafogli e l’uso di più conti intermediari.
Upbit ha segnalato l’intrusione poco dopo aver identificato le transazioni non autorizzate. L’azienda iniziò a esaminare i controlli di accesso interni e i log delle transazioni per determinare come gli attaccanti siano entrati. Non ha ancora rilasciato dettagli sul punto di ingresso. L’incidente ha sollevato domande sul fatto che gli attaccanti abbiano utilizzato credenziali compromesse o avessero approfittato delle debolezze nei sistemi di accesso agli account.
Lazarus è stato associato a furti su larga scala di criptovalute per diversi anni. Incidenti passati collegati al gruppo includono la perdita di asset digitali da altri exchange e da servizi basati su blockchain. Il sospetto movente di questi episodi è l’acquisizione di valuta estera per il governo nordcoreano, che affronta sanzioni internazionali che limitano l’attività finanziaria.
La violazione del 2019 che ha coinvolto Upbit ha comportato una perdita di circa 40 milioni di dollari. Le autorità hanno osservato che l’attività osservata nell’ultimo caso condivide caratteristiche con quell’evento precedente. Queste somiglianze hanno alimentato il sospetto che lo stesso gruppo abbia compiuto il recente furto.
A seguito di notizie pubbliche sull’intrusione, il prezzo delle azioni della società madre di Upbit è diminuito. Gli investitori hanno reagito alle preoccupazioni riguardo alle possibili conseguenze normative e all’effetto sulla fiducia dei clienti. Upbit ha affermato che sta continuando a rafforzare le misure interne e che sta collaborando con le agenzie governative durante l’indagine.
Le autorità stanno esaminando i dati blockchain e tracciando il movimento dei fondi per identificare i portafogli coinvolti. Indagini passate che coinvolgono Lazarus hanno mostrato che il gruppo distribuisce frequentemente fondi rubati attraverso molti indirizzi per nascondere il loro percorso. Questa tattica può complicare gli sforzi per identificare dove vengono infine immagazzinati i fondi.
Si consiglia agli utenti degli exchange di criptovalute di restare cauti su dove conservare i propri asset. Mantenere fondi in wallet basati su exchange può esporre gli utenti a perdite se una piattaforma viene compromessa. Le opzioni di cold storage proteggono gli utenti che non hanno bisogno di accesso immediato ai propri beni.
Il presunto coinvolgimento di Lazarus nel furto di Upbit sottolinea la portata delle operazioni condotte da gruppi di hackering legati allo stato. Il furto di asset digitali rimane una minaccia significativa per i mercati delle criptovalute e per gli utenti che conservano asset su piattaforme centralizzate.