La plataforma de préstamos financieros descentralizados (DeFi) Venus Protocol ayudó a un usuario a recuperar las criptomonedas robadas tras un ataque de phishing vinculado al grupo Lazarus de Corea del Norte.
El jueves, Venus Protocol anunció que había ayudado a un usuario a recuperar USD 13,5 millones en criptomonedas tras el incidente de phishing ocurrido el martes. En ese momento, Venus Protocol detuvo la plataforma como medida de precaución y comenzó a investigar.
Según Venus, la suspensión detuvo cualquier movimiento adicional de fondos, mientras que las auditorías confirmaron que los contratos inteligentes y la interfaz de Venus no se habían visto comprometidos.
Votación de emergencia permitió recuperación de fondos
Una votación de gobernanza de emergencia permitió la liquidación forzosa de la billetera del atacante, lo que permitió confiscar los tokens robados y enviarlos a una dirección de recuperación.
Atacantes aprovecharon un cliente malicioso de Zoom
En el análisis posterior, Venus reveló que los atacantes utilizaron un cliente malicioso de Zoom para engañar a la víctima y que les concediera el control delegado sobre la cuenta.
Esto permitió a los autores tomar prestado y canjear en nombre de la víctima, lo que les permitió drenar millones en monedas estables y activos wrapped.
Los socios de seguridad del protocolo, HExagate e Hypernative, señalaron la transacción sospechosa en cuestión de minutos, lo que llevó a la decisión de pausar el protocolo. Según Venus, el proceso de recuperación se llevó a cabo en menos de 12 horas.
Kuan Sun, identificado como la víctima del ataque, agradeció a los equipos que participaron en la recuperación. "Lo que podría haber sido un desastre total se convirtió en una batalla que realmente ganamos, gracias a un increíble grupo de equipos", escribió Sun.
PeckShield, Binance y SlowMist también colaboraron en la recuperación.
Ataque de phishing vinculado al Grupo Lazarus
El análisis de SlowMist vinculó el ataque al Grupo Lazarus, un colectivo respaldado por Corea del Norte al que se le atribuyen importantes robos de criptomonedas, como el exploit del puente Ronin por valor de USD 600 millones y el hackeo de Bybit por valor de USD 1.500 millones.
Sun afirmó que SlowMist llevó a cabo un exhaustivo trabajo de análisis y fue "uno de los primeros en señalar que Lazarus estaba detrás de este ataque".
El Grupo Lazarus es un colectivo de hackers vinculado a Corea del Norte que se cree que opera bajo la agencia de inteligencia del país.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.