Un groupe de hackers traque les NFT – Metaversal | Affiliation Center

Un groupe de hackers traque les NFT - Metaversal

La métaverse est une Newsletter sans banque pour des mises à niveau hebdomadaires sur les NFT, les mondes virtuels et les objets de collection

Chère nation sans banque,

Le lundi 21 mars, Arthur Cheong – alias Arthur0xle fondateur de DeFiance Capital – a fait face à un compromis de portefeuille.

À la suite de la violation, les attaquants responsables ont vendu des dizaines de NFT de choix sur OpenSea et ont levé illégalement ~ 600 ETH, soit + 1,7 M $, dans le processus.

Cheong a depuis révélé l’e-mail qui, selon lui, a lancé l’exploit de spear phishing. En y regardant de plus près, l’e-mail et l’attaque suivent le récent modus operandi du groupe de hackers BlueNoroff.

L’équipe BlueNoroff s’apparente à une unité de crimes financiers au sein du groupe Lazarus lié à la Corée du Nord, ont noté des chercheurs. J’explique pourquoi ils sont les principaux suspects dans le braquage des NFT de Cheong pour aujourd’hui Métaverse.

-WMP

🙏 Parrain : Domaines imparables – Votre nom, votre adresse de portefeuille universelle et votre identifiant pour web3.

Attaque de l’APT, ou menace persistante avancée

Qu’est-il arrivé

  • Vers 21 h HE lundi, un attaquant a commencé grattage des NFT et des jetons ERC20 de l’un des portefeuilles chauds d’Arthur Cheong, c’est-à-dire des portefeuilles logiciels sur un ordinateur ou un appareil mobile, dans leur propre portefeuille. Plus tard un autre des portefeuilles de Cheong était également visé.

  • L’attaquant a complété ses ventes NFT en vendant des jetons ERC20 comme WETH et LOOKS sur des échanges décentralisés comme 1 pouce. Au moment de mettre sous presse, le portefeuille Etherscan a depuis désigné Hacker de portefeuille Arthur0x était assis sur un trésor illicite de ~590 ETH.

  • Vétéran de longue date de la crypto et de la DeFi, Cheong était initialement à perte pour savoir comment le vecteur d’attaque s’est produit. Cependant, en travaillant avec certains collègues, Cheong a pu déterminer que l’attachement à ce e-mail transféré, visuellement normal était probablement le coupable :

Qu’est-ce que Blue Noroff ?

  • Selon l’article de Kaspersky que Cheong a publié à propos de BleuNoroffles chercheurs ont inventé l’expression « BlueNorOff » pour décrire un Menace persistante avancée (APT) qu’ils ont découvert lors de l’enquête la cyberattaque majeure de la Bangladesh Bank en février 2016.

  • Kaspersky a noté à plusieurs reprises l’APT est connecté au groupe Lazarus et a « une motivation financière habituelle pour un APT ». Les analyses suggèrent que l’équipe fonctionne « comme une unité au sein d’une formation plus large d’attaquants Lazarus, avec la capacité d’exploiter ses vastes ressources : qu’il s’agisse d’implants de logiciels malveillants, d’exploits ou d’infrastructures ».

  • Tandis que BleuNoroff ciblait auparavant les institutions bancaires traditionnelles, son objectif offensif s’est apparemment déplacé vers sociétés de crypto-monnaie et personnalités de la crypto de haut niveau au cours des dernières années.

  • Avant les piratages de portefeuille de Cheong, BlueNoroff était considéré comme actif aussi récemment qu’en novembre 2021. En 2020, l’armée américaine a estimé que l’organisation avait environ 1 700 contributeurs. Le groupe est important, expérimenté et spécialisé dans toutes sortes de tactiques comme le phishing.

Analyse de l’attaque

  • Le hack d’Arthur Cheong est parfaitement en ligne avec un style d’attaque récent de BlueNoroff. Ce vecteur commence d’abord par traquerc’est-à-dire que BlueNoroff étudie les personnes d’intérêt d’une organisation de crypto-monnaie et comment elles interagissent.

  • Ils apprennent alors à imiter, hameçonnagedes interactions normales au sein et autour de cette organisation, c’est-à-dire le transfert d’un e-mail corrompu dans le cadre d’une interaction apparemment normale.

  • Le vecteur technique, par exemple un document partagé via Google Drive, permet à BlueNoroff de exécuter des logiciels malveillants pour infecter et vérifier l’accès aux appareils des victimes.

  • En revue, Cheong a probablement été traqué pendant des semaines, voire des mois. Il a ensuite été harponné via ce qui ressemblait à un e-mail bénin transmis par l’un de ses collègues crypto. Les logiciels malveillants ont ensuite permis aux attaquants de compromettre les portefeuilles chauds sur les appareils de Cheong, dont ils ont récupéré les NFT et les ERC20 pour les vendre.

  • Nous n’obtiendrons certainement pas d’aveux de l’équipe BlueNoroff quant à leur implication. Cela dit, à la lumière de tous les faits disponibles, je pense qu’il est juste de dire BlueNoroff est le suspect n°1 en ce moment. L’attaque correspond parfaitement à leur récent modus operandi. Bien sûr, parfois, les APT imitent les styles des autres APT pour couvrir leurs propres pistes, mais le rasoir d’Occam nous dit de regarder BlueNoroff pour l’instant. Le groupe Lazarus et la Corée du Nord ont des incitations majeures et des capacités majeures pour mener de telles attaques, c’est le moins qu’on puisse dire.

Zoom arrière : que faire ?

  • Portefeuilles matériels (appareils physiques qui restent déconnectés d’Internet à tout moment) ne sont pas parfait solutions de sécurité cryptographiques, mais elles auraient absolument été un excellent point de départ pour rendre les NFT de Cheong beaucoup plus difficiles à voler dans ce cas. Ne stockez jamais de NFT de valeur non négligeable dans des portefeuilles logiciels chauds, c’est-à-dire connectés à Internet.

  • Cheong était une cible de premier plan dans l’écosystème de la cryptographie, mais à la suite d’un incident comme celui-ci, je pense qu’il vaut la peine pour tout le monde de revoir et, si nécessaire, d’améliorer leur crypto OpSec, ou la sécurité opérationnelle, car il est clair que les acteurs de niveau APT sont à la recherche. Certains guides impressionnants que j’ai vus sur crypto OpSec incluent:

  • Vous craignez d’avoir des logiciels malveillants sur votre ordinateur et vous voulez voir si votre L’extension de navigateur MetaMask a été injectée avec un code malveillant ? Il y a une trace que tu peux chercher. Par exemple, dans Chrome, vous pouvez accéder à votre centre d’extensions et vérifier que la « Source » de votre portefeuille MetaMask indique « Chrome Web Store ». Si cela ressemble à quelque chose ci-dessous et que vous n’êtes pas personnellement responsable du changement, l’extension de votre extension MetaMask peut être compromise.

Des mesures d’action

Biographie de l’auteur

William M. Peaster est un écrivain professionnel et créateur de Métaverse—une newsletter Bankless axée sur l’émergence des NFT dans la cryptoéconomie. Il a également récemment contribué au contenu de Bankless, JPG et au-delà !

S’abonner à Sans banque. 22 $ ​​par mois. Comprend accès aux archives, Cercle intérieur & Badge.

🙏Merci à notre sponsor

Ton Domaine imparable est tout ce dont vous avez besoin pour vérifier votre identité et accéder au Web décentralisé. Et maintenant avec Vérification de l’humanité, vous pouvez prouver que vous êtes bien vous, sans révéler de données personnelles. Où que vous alliez sur le Web, vous aurez un contrôle total sur les applications avec lesquelles vous souhaitez partager des données… et celles que vous ne souhaitez pas partager.

👉 Obtenez votre nom pour aussi peu que 5 $ ici.

👉 Rendez-vous sur Unstoppabledomains.com

👉 Achetez votre propre nom d’utilisateur web3

👉 Montrez-le !

Pas de conseils financiers ou fiscaux. Cette newsletter est strictement éducative et ne constitue pas un conseil en investissement ou une sollicitation pour acheter ou vendre des actifs ou pour prendre des décisions financières. Cette newsletter n’est pas un conseil fiscal. Parlez-en à votre comptable. Faites vos propres recherches.

Divulgation. De temps à autre, je peux ajouter des liens dans cette newsletter vers des produits que j’utilise. Je peux recevoir une commission si vous effectuez un achat via l’un de ces liens. De plus, les écrivains Bankless détiennent des actifs cryptographiques. Voir notre divulgations d’investissement ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.