臺灣頭部加密貨幣交易所幣託(BitoPro)今(19)日就其平臺 5 月時發生的被盜事件再次作聲明,指該公司內部資安小組與第三方專業資安公司已完成近一個月的深入調查,依據 6 月 11 日出具之鑑識報告,初步排除內部人員涉入,卻牽出背後涉北韓駭客組織「拉撒路集團(Lazarus Group)」。
幣託在 6 月初被知名鏈上偵探 ZachXBT 揭露遭駭,涉款高達 1,150 萬美元。
幣託在 6 月 2 日發聲明承認事件,並指其平臺近期在進行錢包系統升級與資產移轉作業期間,舊熱錢包在調度資金過程中遭遇駭客攻擊。事件發生當下,幣託已立即啟動緊急應變機制,並於第一時間將平臺資產安全移轉至新錢包及阻斷駭客行為,並同步委託第三方專業資安公司全面協助調查與追蹤相關線索。
據幣託在 19 日最新的聲明中提到,「本次資安事件之攻擊手法,與過往多起國際重大案件模式相似,包含全球多間銀行 SWIFT 系統非法轉帳案及國際大型加密貨幣交易所資產盜竊事件,皆為北韓駭客組織『拉撒路集團』(Lazarus Group)所為」。
駭客透過對幣託一名負責雲端作業的同仁進行社交工程攻擊,成功植入木馬程式,繞過端點防護、防毒及雲端安全偵測等防護系統,並潛伏於該工程同仁電腦中,觀察其日常操作行為,以規避資安人員的例行監控。駭客劫持 AWS Session Token 繞過多重身份驗證 (MFA),在 AWS 環境中透過 C2 伺服器發送指令,將惡意腳本悄悄移轉至熱錢包主機,伺機發動攻擊。
駭客經過長時間觀察,鎖定平臺進行錢包系統升級與資產移轉作業期間,模擬日常操作行為發動攻擊。
5 月 9 日凌晨 1 時左右,駭客啟動惡意腳本,模擬合法交易,自熱錢包非法轉移加密貨幣。直到錢包水位監控系統偵測到異常並發出警示後,資安團隊即刻啟動應變機制,包含緊急關閉熱錢包系統、更換所有關聯金鑰、隔離並重建受影響系統與終端設備、擴大監控並持續追蹤異常行為,進一步阻斷駭客行為。
幣託表示,「目前事件已移交由刑事單位偵辦與鑑識中」,並重申其平臺於事件發生後已第一時間重新檢查,重建錢包系統,並於 5 月 19 日將熱錢包地址主動提供給鏈上數據追蹤平臺 Arkham,以更新平臺水位等相關數據;截至 6 月 19 日,該頁面已更新部分錢包地址 (https://intel.arkm.com/explorer/entity/bitopro) ,用戶可前往查閱。
幣託強調,此次資安事件再次凸顯網路攻擊手法不斷精進,這不僅是對虛擬資產平臺的挑戰,更是臺灣金融、甚至各產業應重視的課題。
「我們深知資訊安全是一場永不停止的考驗,未來平臺將持續強化資安技術與管理流程,並積極交流經驗,呼籲業界提高警覺,在變化快速的數位世界中,共同建築安全且穩定的交易環境。」幣託在聲明中表示。
"幣託遭駭千萬美元事件完成深入調查,背後涉北韓「拉撒路集團」"這篇文章最早發佈於(區塊客)。
