Indodax hackerata per 22 milioni di dollari, sospettato il gruppo Lazarus

L’exchange di criptovalute Indodax, con sede in Indonesia, è l’ultima vittima di un attacco; si ipotizza che possa essere stato orchestrato dal gruppo nordcoreano Lazarus.

Segnalato dalla piattaforma di sicurezza informatica Cyvers e confermato da altre piattaforme come PeckShield e SlowMist.

L’attacco ha preso di mira l’hot wallet di Indodax ed è riuscito a sottrarre circa 22 milioni di dollari in varie criptovalute, tra cui Bitcoin, Ether, Polygon e Tron, insieme ad altri token.

Cyvers afferma che il furto ha interessato oltre 150 transazioni e che l’aggressore ha immediatamente iniziato a scambiare i fondi con Ether, una tattica comunemente utilizzata dai criminali per impedire che i beni rubati venissero inseriti nella blacklist.

Ethereum non supporta la modifica dei permessi di indirizzo. Al contrario, altri token ERC-20 possono implementare una funzione di mappatura all’interno dei loro smart contract per mantenere una blacklist di indirizzi.

Una volta convertiti i fondi rubati in ETH, gli aggressori tendono a riciclare il bottino tramite strumenti di scambio di criptovalute come Tornado Cash.

Dettagli dell’attacco

In questo caso, il furto ha coinvolto oltre 1,42 milioni di dollari in Bitcoin, circa 2,4 milioni di dollari in token basati su Tron, più di 14,6 milioni di dollari in vari token ERC-20, circa 2,58 milioni di dollari in POL e altri 900.000 dollari in ETH dalla blockchain Optimism.

Secondo Cyvers, l’attacco è stato causato da una fuga di dati della chiave privata del portafoglio caldo, probabilmente dovuta a una violazione del dispositivo di firma di Indodax, ovvero il dispositivo utilizzato per firmare e approvare le transazioni.

Tuttavia, SlowMist ha stimato che l’exploit sia stato causato da una vulnerabilità nel sistema di prelievo dell’exchange, che ha consentito all’aggressore di sottrarre fondi dai portafogli attivi.

Nel frattempo, Indodax ha sospeso tutti i servizi sulla sua piattaforma dopo aver riconosciuto la violazione e anche il suo sito web era inattivo al momento della pubblicazione.

In un post X, la piattaforma ha affermato di essere “in fase di manutenzione completa” e ha assicurato agli utenti che i loro fondi erano al sicuro.

In un post successivo, l’exchange ha anche avvisato gli utenti di evitare qualsiasi entità che finge di essere Indodax e offre servizi di recupero fondi.

Si tratta di una tattica di truffa comune in cui i truffatori ingannano le vittime di violazioni della sicurezza convincendole a inviare denaro, promettendo falsamente di aiutarle a recuperare i fondi persi.

Per dare un po’ di sollievo ai suoi utenti durante la manutenzione in corso, l’exchange ha annunciato un omaggio, offrendo 3 milioni di rupie (circa $ 200) ogni ora a tre vincitori. Una mossa non tipica in una situazione come questa.

Tuttavia, con un saldo di riserva pari a 369 milioni di dollari, secondo i dati di CoinMarketCap, Indodax dispone di un cuscinetto considerevole che potrebbe essere utilizzato per contribuire a risarcire gli investitori interessati.

Il gruppo Lazarus è sospettato

Nel frattempo, Yosi Hammer, responsabile dell’intelligenza artificiale presso Cyvers, ha ipotizzato che l’attacco presenti delle somiglianze con i precedenti attacchi informatici condotti dal gruppo nordcoreano Lazarus, noto per i suoi sofisticati furti di criptovalute.

Si è anche ipotizzato che il gruppo Lazarus fosse dietro l’attacco del 18 luglio all’exchange di criptovalute indiano WazirX. In modo simile, 230 milioni di dollari di asset sono stati rubati dagli hot wallet dell’exchange e riciclati tramite Tornado Cash.

La gravità dell’attacco ha portato alla chiusura completa della piattaforma, che ora sta perseguendo un accordo di riorganizzazione a Singapore.

Come precedentemente riportato da Invezz, il gruppo di hacker sostenuto dallo Stato nordcoreano è stato coinvolto in più di 25 attacchi informatici su varie blockchain da agosto 2020 a ottobre 2023.