Gli indirizzidentcome appartenenti ad hacker nordcoreani hanno riciclato 200.000 dollari in criptovalute tramite MetaMask. Questo tipo di scambio prevede commissioni elevate, ma può rappresentare una via d'uscita per gli hacker.
Un elenco di indirizzi collegati a precedenti exploit di hacker nordcoreani è emerso in una serie di swap MetaMask. Gli indirizzi hanno scambiato solo 200.000 dollari in criptovalute, lasciando 1.985 dollari in commissioni di swap. Il router MetaMask è tra gli strumenti con commissioni elevate per lo scambio di criptovalute, ma può essere veloce e accessibile agli hacker per oscurare l'origine dei fondi o evitare il congelamento dei token.
Sebbene la somma fosse esigua, l'evento in sé era inquietante, data la percezione che gli hacker nordcoreani non facciano trading, ma test. L'attività di hacking ha subito un rallentamento nella seconda metà del 2024, ma permangono segnali di mescolanza e tentativi di occultamento dei fondi.
La scoperta di MetaMask segue un altro episodio di attacchi hacker che hanno utilizzato servizi Web3, DEX e il router nativo del wallet. Recentemente, sono stati scoperti sul bridge Hyperliquid. Il DEX per future perpetui non è stato in alcun modo sfruttato, ma l'evento è stato anche considerato un test per lo spostamento di fondi. Alcuni ritengono che Hyperliquid sia ancora a rischio, a causa dei suoi limitati punti di validazione che possono essere sfruttati.
MetaMask non è stato compromesso e, salvo errori personali, è rimasto un portafoglio sicuro. Taylor Monahan, @tayvano, ha anche sottolineato che il portafoglio è stato preso di mira in diversi modi dagli hacker nordcoreani, sempre alla ricerca di modi per sbloccare le criptovalute conservate.
"MetaMask è e sarà sempre preoccupata... Monitoriamo trac la RPDC perché rappresenta la minaccia più grande per le aziende crypto. Monitoriamo anche trac gli altri attori della minaccia crypto perché la RPDC è la minaccia più grande, ma non l'unica", ha affermato @tayvano in un recente post X.
Gli hacker nordcoreani evitano l'USDC come asset bloccabile
Mentre rallentavano le loro attività, gli hacker nordcoreani hanno iniziato a scambiare fondi e a spostarsi tra le catene.
Anche l'elenco dei wallet che hanno utilizzato gli swap MetaMask vanta una lunga tradizione di utilizzo di vari protocolli decentralizzati. I wallet effettuano lo swap tra Ethereum (ETH) e le stablecoin USDT e USDC .
Entrambe le stablecoin sono, in teoria, asset congelabili, ma in particolar modo USDC. Per questo motivo, i wallet tornano sempre a utilizzare ETH o altri token, oppure si spostano sulla catena Arbitrum per alcune attività. I wallet non mantengono mai un saldo USDC a lungo, nonostante l'utilizzo molto attivo del token.
I due indirizzi erano molto attivi, interagendo con i conti ENS, gli utenti OpenSea e i protocolli web3. Gli scambi sono proseguiti nelle ultime ore, sempre con l'obiettivo principale di spostare fondi su scala relativamente ridotta.
0x52263cAEc2e144C3A84cc16d014157360Ac85A89
0x070cA92f568037d351666b3918a0F6ba7ad20ED1
Le attività del wallet e le relative controparti si collegano ad alcuni dei protocolli più recenti, meme token, NFT e altri asset più attivi. Tuttavia, la maggior parte dell'attività si concentra sullo swap in stablecoin come passaggio temporaneo.
L'attività del portafoglio solleva ulteriori preoccupazioni sulla sicurezza di Hyperliquid
Gli swap recenti sono stati relativamente modesti, con transazioni inferiori a 500 dollari. Tuttavia, alcune controparti dei wallet hanno mostrato interazioni con DEX e DeFi , spesso effettuando transazioni con il Hyperliquid .
Le cronologie dei presunti wallet hacker contengono anche interazioni con Hyperliquid delle ultime ore e giorni. Per ora, il protocollo non è stato attaccato direttamente, ma alcuni lo considerano un altro strumento per mescolare fondi o fare trading per oscurare l'origine dei token. Il bridge di Hyperliquid è la principale preoccupazione per gli attacchi, poiché il valore dell'hub è cresciuto esponenzialmente. Il bridge detiene oltre 2 miliardi di dollari e potrebbe non essere sufficientemente protetto , secondo @tayvano.
Per ora, non esiste alcun altro collegamento diretto tra gli di MetaMask swap e un potenziale attacco al bridge. Gli swap di MetaMask potrebbero essere parte di un'attività generale di spostamento tra asset con trac .
Secondo quanto riferito, gli hacker nordcoreani hanno raddoppiato il loro bottino nel 2024, sottraendo potenzialmente fino a 1,3 miliardi di dollari al mercato delle criptovalute. La maggior parte dell'attività si è concentrata nella prima metà dell'anno, con un rallentamento degli attacchi informatici più gravi nell'ultimo trimestre.
