Возвращение расследования безопасности в цепочке: операции горячего кошелька BitoPro вызывают внешние опасения.

Недавний отчет блокчейн-следователя ZachXBT раскрыл предполагаемый крупный инцидент безопасности в сообществе, указывая на то, что тайваньская криптовалютная биржа BitoPro может столкнуться с оттоком капитала 8 мая 2025 года, сумма которого может достигать 11,5 миллиона долларов. Он наблюдал аномальные движения средств в горячих кошельках BitoPro на цепочках Ethereum, Tron, Solana и Polygon, и эти средства были обменяны через децентрализованные биржи, прежде чем быть направленными на анонимные торговые инструменты, такие как Tornado Cash, или переведенными через цепочки в основной сети Bitcoin через Thorchain и хранящимися в Wasabi, что предполагает потенциальную деятельность по отмыванию денег.

Платформенный токен BITO резко упал, и сообщество пользователей обеспокоено безопасностью активов.

После обнародования новости токен платформы BitoPro $BITO упал более чем на 8% за один день. Пользовательское сообщество задается вопросами о подлинности события и реакции платформы, особенно поскольку ZachXBT указал на то, что BitoPro в тот момент лишь упомянул об этом как о "техническом обслуживании" и не сообщил вовремя о конкретной ситуации с подозреваемым взломом через официальные каналы, что еще больше углубило рыночные опасения.

(Источник изображения: BitoPro)

Кибербезопасная компания вмешалась в расследование, и платформа активировала свой механизм реагирования.

В ответ на внешние сомнения, BitoPro выпустила официальное заявление, признающее, что она подверглась хакерской атаке во время обновления своего горячего кошелька и передачи активов. Платформа заявила, что она немедленно активировала меры экстренного реагирования в момент инцидента, быстро переведя оставшиеся активы на новый горячий кошелек, одновременно блокируя подозрительную деятельность и поручив сторонней компании в области кибербезопасности помочь в полномасштабном расследовании и отслеживании местонахождения хакера. BitoPro подчеркнула, что ее общие резервные активы достаточны, и большинство цифровых активов хранятся в офлайн-холодных кошельках, которые не пострадали в результате этого инцидента.

Подозревается, что это связано с международной хакерской организацией

Согласно совместному анализу, проведенному внутренней командой кибербезопасности и сторонними организациями, метод атаки имеет высокое сходство с несколькими предыдущими глобальными инцидентами в области кибербезопасности и подозревается в том, что это работа известной хакерской группы из Северной Кореи Lazarus Group, которая была вовлечена в несколько незаконных переводов SWIFT из многонациональных финансовых учреждений, а также в инциденты крупномасштабной кражи активов на криптовалютных платформах, демонстрируя высокий уровень технических навыков и оперативной скрытности.

Социальная инженерия проникает в облачные разрешения, нацеливаясь на операционные узлы для запуска атак.

Хакер использовал социальную инженерию в качестве точки входа, чтобы нацелиться на инженера, отвечающего за поддержание облачной инфраструктуры, успешно внедрив троян и обойдя несколько защитных механизмов, включая обнаружение на конечных точках, антивирус и системы оповещения о безопасности облака. Затем он какое-то время наблюдал за рабочим поведением инженера. В ходе этого процесса злоумышленник захватил токен сессии AWS инженера, успешно обойдя многофакторную аутентификацию (MFA), и загрузил вредоносные скрипты в облачную среду через C2 контрольную конечную точку, в конечном итоге направив атаку на хост горячего кошелька.

Заблокируйте время для планирования активов платформы, многосетевые активы украдены и переведены.

Во время атаки платформа проходила обновление кошелька и распределение средств. Хакер воспользовался возможностью, чтобы запустить заранее развернутый скрипт, имитируя процесс легитимной ежедневной операции, и быстро перевел активы незаконно с таких цепочек, как Ethereum, Tron, Solana и Polygon, на общую сумму около 11,5 миллионов долларов. Активы были конвертированы и замаскированы с помощью децентрализованных инструментов, таких как Tornado Cash и Thorchain, а затем осуществлены кросс-цепочные переводы в сеть Bitcoin, в конечном итоге попав в сервисы смешивания, такие как Wasabi Wallet, что еще больше скрывало источник средств.

Событие вступило в судебное расследование, кошелек был восстановлен и стал публичным и прозрачным.

Инцидент теперь полностью передан судебным органам для уголовного расследования и отслеживания. Платформа также инициировала комплексную проверку безопасности, восстановив инфраструктуру кошелька. Пользователи теперь могут просматривать последнее состояние развертывания горячего кошелька BitTrust через платформу Arkham. Платформа обещает постоянно повышать уровень безопасности в будущем и усиливать мониторинг операционных разрешений и предотвращение аномальных действий, чтобы предотвратить повторение подобных инцидентов.

Последний статус развертывания горячих кошельков Bit托:https://intel.arkm.com/explorer/entity/bitopro

Если вы хотите узнать больше о контенте Web3, нажмите для регистрации:https://www.gate.com/

Резюме

На рынке криптовалют безопасность активов всегда является самым основным обязательством торговых платформ. Инцидент с BitoPro напоминает всем практикам и пользователям о том, что многоуровневое управление горячими и холодными кошельками и прозрачность информации будут иметь решающее значение для безопасности цифровых активов в будущем. Этот инцидент, безусловно, подтолкнет к всестороннему пересмотру защиты безопасности бирж внутри сообщества еще раз.