هکرهای کره شمالی متهم به سرقت ۷۰ میلیون دلار از صرافی Phemex

صرافی فیمکس (Phemex) مستقر در سنگاپور روز پنجشنبه هدف یک حمله سایبری قرار گرفت که منجر به سرقت بیش از ۷۰ میلیون دلار از دارایی‌های رمزارزی آن شد. کارشناسان امنیت بلاکچین معتقدند هکرهای کره شمالی احتمالاً پشت این حمله قرار دارند.

فدریکو واریولا، مدیرعامل فیمکس، پس از دریافت گزارش‌هایی مبنی بر فعالیت‌های مشکوک از سوی چندین شرکت امنیت بلاکچین، دستور توقف برداشت‌ها را صادر کرد. در آن زمان حدود ۳۰ میلیون دلار از دارایی‌ها به سرقت رفته بود، اما به نظر می‌رسد حمله ادامه یافت و توکن‌های بیشتری دزدیده شد.

تیلور موناهان، محقق ارشد امنیتی متامسک، در گفتگو با The Block توضیح داد که این حمله الگوی مشابهی با سایر حملات به صرافی‌های رمزارز دارد. او گفت:

هر سرقت یا کلاهبرداری رفتار خاص خود را در زنجیره دارد که می‌تواند اطلاعات زیادی درباره آنچه اتفاق افتاده، تعداد افراد درگیر و میزان تجربه مهاجمان به ما بدهد.

مهاجمان ابتدا به سراغ دارایی‌های با ارزش بالاتر مانند بیت کوین، اتریوم و سولانا رفتند و همچنین استیبل کوین‌ها را هدف قرار دادند. آنها به سرعت میلیون‌ها دلار USDC و USDT دزدیده شده را که قابل مسدود شدن هستند، به اتریوم تبدیل کردند.

بر اساس داده‌های اکسپلورر بلاکچین، حداقل ۱۶ میلیون دلار سولانا، ۱۲ میلیون دلار XRP و ۵ میلیون دلار بیت کوین به سرقت رفته است. مهاجمان در مجموع صدها توکن مختلف را دزدیدند و طبق گزارش Arkham، حتی مقادیر بسیار کم از آلت کوین‌های کمتر شناخته شده را نیز برداشت کردند.

یک محقق امنیتی که خواست نامش فاش نشود، گفت این حمله شباهت زیادی به حملات گروه TraderTraitor دارد که FBI معتقد است پشت حمله ۳۰۸ میلیون دلاری به پلتفرم معاملاتی ژاپنی DMM قرار داشته است.

بر اساس داده‌های Etherscan، حداقل ۲۷۵ تراکنش در زنجیره‌های EVM انجام شده است. مهاجمان از حداقل هشت آدرس برای برداشت دارایی‌ها فقط در زنجیره اصلی اتریوم استفاده کردند و همچنین آدرس‌هایی برای لایه ۲ از جمله آربیتروم، بیس، پالیگان، آپتیمیزم و zkSync داشتند.

کیف پول اصلی مرتبط با این حمله که با 0x5b34 شروع می‌شود، حداقل ۴۴ میلیون دلار از طریق آن جریان یافته است. این کیف پول همچنین دارای آدرس‌هایی برای برداشت دارایی‌ها در آوالانچ، بایننس اسمارت چین، پولکادات، سولانا و ترون بود.

فیمکس که در رتبه ۵۵ از نظر حجم معاملات و رتبه ۳۷ در امتیاز اعتماد CoinGecko قرار دارد، اعلام کرده که همچنان حدود ۱.۸ میلیارد دلار دارایی رمزارزی در اختیار دارد. بخش عمده این مقدار مربوط به توکن اختصاصی صرافی (PT) است که ۱.۱ میلیارد دلار از دارایی‌های آن را تشکیل می‌دهد. دو دارایی بزرگ بعدی آن ۳۵۵ میلیون دلار بیت کوین و ۲۰۹ میلیون دلار USDT است.

این صرافی اعلام کرده که در حال کار روی «طرح جبران خسارت» برای افراد متأثر از این هک است. تراکنش‌های مرتبط با آدرس‌های متصل به این حمله در حدود ساعت ۱۰:۰۰ به وقت شرقی آمریکا متوقف شده است.

کارشناسان معتقدند پیچیدگی این حمله، تعداد زیاد تراکنش‌ها و گستردگی بلاکچین‌های هدف نشان می‌دهد که احتمالاً یک گروه حرفه‌ای با تجربه قبلی در چنین حملاتی پشت آن قرار دارد. شباهت روش حمله با الگوهای قبلی هکرهای کره شمالی و همچنین زمان‌بندی پایان حملات مطابق با ساعت پیونگ‌یانگ، فرضیه دست داشتن هکرهای این کشور در این حمله را تقویت می‌کند.