Tin tặc Lazarus của Bắc Triều Tiên_ Kẻ chủ mưu đằng sau vụ tấn công Ronin khét tiếng

2022-05-12, 10:11


Vào cuối tháng 3, mạng Ronin của nền tảng trò chơi P2E Axie Infinity đã trở thành nạn nhân của một cuộc tấn công tiêu hao hơn 600 triệu USD. Vụ hack Ronin được mô tả là vụ khai thác lớn nhất trong lịch sử DeFi. Bộ Tài chính Hoa Kỳ đã cáo buộc rằng các tin tặc Lazarus của Triều Tiên đứng sau vụ vi phạm.

Đây không phải là lần đầu tiên những cá nhân này có liên quan đến một trường hợp đáng kể về hành vi trộm cắp mạng. Trong thập kỷ qua, Hoa Kỳ đã không đổ lỗi cho nhiều vụ tấn công tương tự đối với tin tặc Lazarus. Điều này, tất nhiên, đặt ra câu hỏi;


Nhóm La-xa-rơ là gì?


Tin tặc Lazarus là các tổ chức nhà nước thuộc Cộng hòa Dân chủ Nhân dân Triều Tiên. Chúng là một nhóm tội phạm mạng đã thực hiện hàng loạt cuộc tấn công dưới sự chỉ đạo của chính phủ Triều Tiên. Nhóm hoạt động từ năm 2009 và nổi tiếng vào năm 2014 sau khi thỏa hiệp với công ty giải trí Sony Pictures. Họ thậm chí còn trở nên khét tiếng hơn vào hai năm sau đó, vào năm 2016, khi họ tấn công Ngân hàng Trung ương Bangladesh và thu về khoảng 81 triệu đô la.

Vào năm 2021, công ty nghiên cứu blockchain Chainalysis đã quy kết số tiền điện tử bị cướp đi trị giá tới 1,75 tỷ cho đến nay là do các hành động của tổ chức tội phạm mạng, một con số chắc chắn đã tăng đáng kể kể từ đó. Vào năm 2020, nhóm Lazarus đã vi phạm sàn giao dịch tiền điện tử KuCoin và kiếm được tiền ảo trị giá 275 triệu đô la, một nửa số tiền điện tử bị đánh cắp trong năm đó.


Điều thú vị là, các tin tặc Lazarus thường không được thúc đẩy bởi tiền, một đặc điểm khiến chúng khác biệt với các nhóm tương tự. Các chủ thể nhà nước này đã đánh cắp thông tin nhạy cảm và thực hiện phá hoại cùng nhiều hành động khác nhằm mang lại lợi ích cho CHDCND Triều Tiên về mặt chính trị hoặc kinh tế.

Kể từ năm 2006, một số quốc gia đã hợp tác với nhau để áp đặt các biện pháp trừng phạt đối với Triều Tiên nhằm kiềm chế tham vọng hạt nhân thù địch và cắt nguồn tài trợ cho các chương trình vũ khí hủy diệt hàng loạt (WMD) của nước này. Các lệnh cấm này đã cấm xuất khẩu nhiều mặt hàng khác nhau và ngăn CHDCND Triều Tiên nhập khẩu dầu thô và các sản phẩm dầu mỏ tinh chế.

Tuy nhiên, trong một báo cáo của Liên hợp quốc vào đầu năm nay, các thành viên cáo buộc rằng Triều Tiên đã tự tài trợ cho mình thông qua nhiều cuộc tấn công mạng và có thể đã tích lũy được tài sản tiền điện tử trị giá tới 400 triệu đô la thông qua các vụ hack này. Liên Hợp Quốc báo cáo đã xem xét ít nhất 35 vụ khai thác của các phần tử mạng CHDCND Triều Tiên trên 17 quốc gia.

Vụ khai thác Ronin là vụ trộm lớn nhất của Tập đoàn Lazarus cho đến nay. Cuộc tấn công vào Ngân hàng Trung ương của Bangladesh có lẽ đã được coi là tiêu đề này vì ban đầu các tin tặc dự định kiếm được 1 tỷ đô la. Thật may mắn, họ đã không thành công nhưng chúng ta hãy xem xét kỹ hơn vụ hack chiếm giữ vị trí này;


Chi tiết về Khai thác Ronin


Sky Mavis, với tư cách là nhóm phát triển của nền tảng, được biết, đã xác nhận thông qua Tweet rằng blockchain Ronin của Axie Infinity đã gặp phải sự cố vi phạm bảo mật vào ngày 23 tháng 3. Cầu Ronin cho phép khả năng tương tác chuỗi chéo trên nền tảng.


Người chơi có thể gửi các loại tiền tệ như ETH hoặc stablecoin USDC để đổi lấy các vật phẩm NFT bằng đơn vị tiền tệ trong trò chơi. Ngoài ra, nó tạo điều kiện thuận lợi cho việc bán tài sản trong trò chơi cho phép người dùng rút tiền. Ngay sau khi khai thác, các nhà phát triển đã tạm dừng tất cả các giao dịch trên mạng. Các tin tặc đã kiếm được 173.600 Ethereum (khoảng 600 triệu USD) và 25,5 triệu USDC, tổng cộng trị giá 625 triệu USD.

Theo thông cáo chính thức từ nhóm, những kẻ tấn công đã sử dụng các khóa cá nhân bị xâm phạm để cho phép chúng truy cập vào các nút xác thực của mạng. Chuỗi khối Ronin bao gồm chín nút xác thực; để hoàn thành một giao dịch (gửi hoặc rút tiền), 5 trong số này cần được họ chấp thuận. Các tin tặc đã giành được quyền kiểm soát 4 trình xác thực của mạng và chữ ký trình xác thực của bên thứ 3 do Axie DAO quản lý.

Những kẻ độc hại đã giả mạo rút tiền giả bằng các khóa riêng bị xâm phạm và thực hiện vụ hack lớn nhất mà không gian tiền điện tử từng chứng kiến cho đến nay.


Cách mạng Ronin bị xâm phạm


Điều đáng lưu ý là các nhà phát triển Axie Infinity đã không phát hiện ra cuộc tấn công cho đến ngày 29 tháng 3, 6 ngày sau khi nó xảy ra. Một trong những người dùng của nền tảng đã cố gắng rút 5 nghìn Ethereum khỏi mạng; tuy nhiên, họ không thể thực hiện được và do đó đã gửi báo cáo cho nhóm.

Theo thông cáo của Sky Mavis, điểm bắt đầu của cuộc tấn công là từ tháng 11 năm 2021. Nhóm nghiên cứu cần sự hỗ trợ của Axie DAO trong việc phân phối các giao dịch miễn phí sau một lượng lớn người dùng. DAO đã cho phép Sky Mavis (được liệt kê trong danh sách cho phép) đăng ký thay thế cho một loạt các giao dịch.

Điều này không còn cần thiết vào cuối năm nay; tuy nhiên, nhóm không bao giờ cắt quyền truy cập danh sách cho phép. Với RPC không chứa gas của nền tảng, kẻ tấn công đã tìm thấy một cửa sau của hệ thống và chữ ký xác thực DAO. Sau đó, họ đã tiến hành rút cạn nền tảng hơn 600 triệu đô la.


Sky Mavis phản ứng như thế nào?


Cuộc tấn công thu hút sự chú ý của nhóm phát triển sáu ngày sau nó. Tuy nhiên, Sky Mavis đã thực hiện các bước nhanh chóng để giảm thiểu thiệt hại khi họ nhận thức được. Chúng ta hãy xem xét một số bước đó;

Để đề phòng việc khai thác trong tương lai, một trong những động thái đầu tiên mà nhóm Axie Infinity thực hiện là tăng ngưỡng xác thực. Nhiều cá nhân khác đã đặt câu hỏi về vấn đề này đã đặt câu hỏi tại sao đội lại đặt nó ở vị trí thứ 5 ngay từ đầu. Sau khi nâng con số lên 9, Sky Mavis giải thích rằng quyết định ban đầu là do một số nút chưa bắt kịp chuỗi hoặc bị mắc kẹt trong quá trình đồng bộ hóa.

Họ đã chia sẻ kế hoạch để mở rộng bộ xác nhận theo thời gian. Ngoài ra, Sky Mavis đã bắt đầu di chuyển các nút sang một khuôn khổ hoàn toàn mới. Nhóm nghiên cứu cũng tạm thời đóng cửa cây cầu Ronin; trong báo cáo của mình, Sky Mavis lưu ý rằng họ sẽ mở lại nó khi họ xác nhận rằng những kẻ tấn công không thể ăn cắp tiền nữa.

Hơn nữa, để an toàn, nền tảng trao đổi tiền điện tử Binance đã cắt kết nối với mạng Ronin. Sky Mavis đã liên hệ với các đội bảo mật tại các sàn giao dịch hàng đầu và nhờ Chainalysis truy tìm tiền điện tử bị đánh cắp.

Nhóm cho biết họ đang làm việc với các quan chức thực thi pháp luật và đảm bảo với những người dùng bị ảnh hưởng rằng họ sẽ được hoàn trả cho dù số tiền có được thu hồi hay không.


Cách FBI trói tin tặc Lazarus vào vụ khai thác Ronin


Hai tuần trước, hợp tác với FBI, Bộ Tài chính Hoa Kỳ đã áp dụng các biện pháp trừng phạt đối với ba địa chỉ ví liên quan đến Lazarus Group và APT38 được nhà nước hậu thuẫn. Sau đó, công ty dữ liệu blockchain Chainalysis lưu ý rằng một trong những địa chỉ bị xử phạt có mối quan hệ với ví ban đầu được sử dụng trong cuộc tấn công.

Các ví này đã nhận được một phần đáng kể số tiền bị đánh cắp, mà các đội bảo mật đã theo dõi sau vụ khai thác. Các cuộc điều tra vẫn đang được tiến hành; Theo Elliptic, các tin tặc đã rửa khoảng 18% số tiền bị đánh cắp, trong khi số tiền 9,7 triệu đô la vẫn nằm trong các ví trung gian trước khi rửa.


Kết luận


Sau vụ hack, công chúng chú ý rằng nền tảng chơi game P2E Axie Infinity đã gặp phải tình trạng lượng người dùng lớn. Một số cho rằng bị lỗ do khai thác gần đây; tuy nhiên, dữ liệu cho thấy rằng ngay cả trước đó, người dùng hoạt động hàng ngày (DAU) của nền tảng đã giảm từ 8 triệu xuống còn 1 ít so với trước đó.

Mặc dù hack có thể không phải là yếu tố chính, nhưng không thể phủ nhận nó đã đóng một vai trò nào đó kể từ đó. Axie Infinity có khả năng sẽ chứng kiến nhiều người dùng thoát ra khi niềm tin vào nền tảng giảm sút. Tuy nhiên, Sky Mavis đã đảm bảo với người dùng về khoản hoàn trả và một vòng gọi vốn liên quan đến các nhà đầu tư Binance, Animoca Brands, Paradigm và những người khác đã huy động được 150 triệu đô la.

Giám đốc điều hành Binance Changpeng "CZ" cũng chia sẻ trong một tweet rằng sàn giao dịch đã thu hồi được số tiền trị giá 5,8 triệu đô la mà địa chỉ ví của hacker đã gửi. Phối hợp với Bộ Tài chính và các tổ chức chính phủ khác nhau, FBI đã bày tỏ ý định tiếp tục chống lại các phương thức bất hợp pháp của CHDCND Triều Tiên, tội phạm mạng, v.v.


Tác giả: Gate.io Observer M. Olatunji
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.



Chia sẻ
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank