dentКНДР адреса перевели 200 000 долларов через MetaMask, что выглядит как тест криптовалютной прачечной

Адреса,dentкак принадлежащие северокорейским хакерам, отмыли 200 000 долларов в криптовалюте через MetaMask. Этот тип обмена сопряжен с высокими комиссиями, но может служить точкой выхода для хакеров.

В серии обменов через MetaMask всплыл список адресов, связанных с предыдущими атаками северокорейских хакеров. Обмену криптовалютных активов удалось осуществить всего на 200 000 долларов, комиссия за обмен составила 1985 долларов. Маршрутизатор MetaMask относится к инструментам с высокими комиссиями для обмена криптовалюты, но может быть быстрым и доступным для хакеров, позволяя скрыть происхождение средств или избежать заморозки токенов.

Хотя сумма была небольшой, само событие вызывало опасения, учитывая представление о том, что хакеры из КНДР занимаются не торговлей, а тестированием. Во второй половине 2024 года хакерская активность снизилась, но всё ещё наблюдаются признаки смешивания и попыток сокрытия средств.

Обнаружение уязвимости MetaMask последовало за очередным случаем использования хакерскими адресами сервисов Web3, децентрализованных бирж (DEX) и встроенного маршрутизатора кошелька. Недавно приток средств с хакерских адресов был обнаружен на мосту Hyperliquid. Децентрализованная биржа бессрочных фьючерсов не была взломана, но это событие также рассматривалось как тест для перемещения средств. Некоторые считают, что Hyperliquid по-прежнему находится под угрозой из-за ограниченного количества точек валидаторов, которые могут быть использованы злоумышленниками.

Сам MetaMask не был взломан и остаётся безопасным кошельком, за исключением случаев личных ошибок. Тейлор Монахан (@tayvano) также отметил, что кошелек подвергался многочисленным атакам со стороны северокорейских хакеров, которые постоянно ищут способы разблокировать хранящуюся в нём криптовалюту.

«MetaMask всегда была и остается обеспокоена… Мы tracза КНДР, потому что она представляет собой самую большую угрозу для криптокомпаний. Мы также tracвсех остальных участников крипторыночных угроз, потому что КНДР — крупнейшая, но не единственная угроза», — написал @tayvano в недавнем постеX.

Северокорейские хакеры избегают USDC как актива, подлежащего блокировке

Замедляя свои атаки, северокорейские хакеры обменивались средствами и перемещались между блокчейнами.

Список кошельков, использующих обмены MetaMask, также имеет долгую историю работы с различными децентрализованными протоколами. Кошельки обменивают средства между Ethereum (ETH) и стейблкоинами USDT и USDC.

Оба стейблкоина теоретически являются активами, которые можно заморозить, но особенно USDC. По этой причине кошельки всегда обменивают средства обратно на ETH или другие токены, либо переходят на блокчейн Arbitrum для выполнения некоторых задач. Кошельки никогда не хранят баланс USDC долгое время, несмотря на высокую активность использования этого токена.

Оба адреса были очень активны, взаимодействуя с учетными записями ENS, пользователями OpenSea и протоколами web3. Обмены продолжались в течение последних нескольких часов, опять же с основной задачей перемещения средств в относительно небольших масштабах.

0x52263cAEc2e144C3A84cc16d014157360Ac85A89

0x070cA92f568037d351666b3918a0F6ba7ad20ED1

Действия кошельков и их контрагентов связаны с некоторыми из наиболее активных в последнее время протоколов, мем-токенами, NFT и другими активами. Однако большая часть активности сосредоточена на временном обмене на стейблкоины.

Активность в кошельке вызывает дополнительные опасения по поводу безопасности Hyperliquid

Недавние обмены были относительно незначительными, сумма транзакций не превышала 500 долларов. Однако некоторые из контрагентов кошельков взаимодействовали с децентрализованными биржами (DEX) и DeFi хабами, часто совершая транзакции через Hyperliquid .

В истории транзакций кошелька предполагаемого хакера также содержатся данные о взаимодействии с Hyperliquid за последние несколько часов и дней. На данный момент протокол не подвергался прямым атакам, но некоторые считают его еще одним инструментом для смешивания средств или торговли с целью сокрытия происхождения токенов. Наибольшую опасность для атак представляет мост Hyperliquid, поскольку его стоимость выросла экспоненциально. Мост хранит более 2 миллиардов долларов и, по словам @tayvano, может быть недостаточно защищен.

На данный момент нет другой прямой связи между MetaMask и потенциальной атакой на мост. Свопы MetaMask могут быть частью общей активности по перемещению активов с минимальным trac.

По сообщениям, северокорейские хакеры удвоили свои доходы в 2024 году, потенциально забрав с криптовалютного рынка до 1,3 миллиарда долларов. Большая часть активности была сосредоточена в первой половине года, а количество крупных хакерских атак снизилось в последнем квартале.