日前美国联邦调查局 (FBI) 将此次攻击的幕后黑手归咎于代号为 TraderTraitor 的黑客组织,该黑客组织与朝鲜黑客有关,主要目标就是在加密货币领域发起攻击以窃取加密货币。
FBI 披露的调查报告则与当时蓝点网猜测的有些类似但真实情况不同,蓝点网当时认为比特币被转入某个从未使用的外部地址,必然是有 DMM 内鬼的配合否则这个地址没有传播路径。
真实情况确实更复杂,到处透露着社会工程学攻击的气味:
TraderTraitor 黑客最初在 2024 年 3 月开展行动,先在微软旗下的职场社交平台 LinkedIn 上发布消息假装是合法的招聘者,然后日本加密货币钱包开发商 Ginco 的某位员工准备求职而联系了黑客。
黑客向 Ginco 的这名员工发送工作建议并要求在 GitHub 上进行入职前测试,这名员工则可以访问 Ginco 的加密货币钱包管理系统。
受害者收到黑客发送的一段恶意 Python 代码然后将其复制到个人 GitHub 页面进行测试,这段代码随后感染这名员工的计算机并渗透到 Ginco,最后横向传播到 DMM。
到 2024 年 5 月中旬黑客利用会话 cookie 信息冒充受感染的员工,成功获得 Ginco 未加密通信系统的访问权限;到 2024 年 5 月下旬,攻击者可能利用此访问权限操纵了 DMM 员工的合法请求,可能是替换了目标钱包地址为黑客控制的钱包地址,从而导致 4502.9 枚比特币被窃取。
从上面的攻击流程可以看到这些黑客实施的是非常复杂的社会工程学攻击,尤其最初肯定调查了准备求职的 Ginco 员工,以这名员工为突破口完成了整个攻击流程。
TraderTraitor 也被称为 UNC4899、Jade Sleet 和 Slow Pisces,自 2022 年开始活跃并利用虚假的应用程序专注于区块链领域的攻击。