黑客组织盗窃 NFT

一个可能与朝鲜有联系的黑客组织眼中利润丰厚的 NFT ！

亲爱的Bankless国民，

3 月 21 日星期一，Arthur Cheong（又名Arthur0x，DeFiance Capital 的创始人）面临钱包威胁。

盗窃事件发生后，自负的攻击者在 OpenSea 上出售了数十种精选 NFT，并在此过程中非法获取了约 600 ETH 或 170 +万美元。

此后，Cheong 透露了他认为是发起鱼叉式网络钓鱼攻击的电子邮件。经过仔细检查，电子邮件和攻击手段与 BlueNoroff 黑客组织最近的作案手法相同。

研究人员指出，BlueNoroff 团队类似于与朝鲜有关的 Lazarus Group 内的一个金融犯罪部门。我阐述了为什么他们是今天Metaversal中 Cheong 的 NFT 盗窃案的主要嫌疑人。

-WMP

翻译：CJBoy

校对：KafkaCoo

---

APT 攻击或高级长期威胁

发生了什么

• 美国东部时间周一晚上 9 点左右，攻击者开始将 NFT 和 ERC20 代币从 Arthur Cheong 的一个热钱包（即计算机或移动设备上的软件钱包）中转移到他们自己的钱包中。后来，Cheong 的另一个钱包也成为了目标。

StockEd NFT's @robbyhammz

ATTENTION ALL @AzukiZen it seems sadly @Arthur_0x wallet has been hacked please do not bid or buy any of these NFTs from this address!!!

1:40 AM ∙ Mar 22, 2022

---

• 攻击者以这种方式积累了近 60 个 NFT ，并在社区中的大多数人意识到发生了什么之前就开始在 OpenSea 上出售其中的大部分。

PeckShieldAlert @PeckShieldAlert

#PeckShieldAlert @Arthur_0x ’s hot wallet appears to be compromised. ~59 #NFTs was transferred to etherscan.io/address/0xe47e… , including ~5 #CloneX, ~17 $Azuki @AzukiZen, ~2 @TabinekoKIKI, ~2 @HedgiesOfficial, ~33 @SecondSelfNFT ~19 stolen NFTs wiped for ~233 $ETH (~$690k).

3:26 AM ∙ Mar 22, 2022

---

• 攻击者通过在 1inch 等去中心化交易所出售 WETH 和 LOOKS 等 ERC20 代币来增加他们的 NFT 收入。截至发稿时，钱包 Etherscan 已指定Arthur0x Wallet Hacker坐拥约 590 ETH的非法宝库。

• 作为加密货币和 DeFi 的资深人士，Cheong 最初对攻击方式是如何发生的感到茫然。然而，在与一些同事合作时，Cheong 能够确定这封转发的、外观正常的电子邮件中的附件很可能是罪魁祸首：

Arthur 🌔⛩️🦔👻 @Arthur_0x

Found out the likely root cause for the exploit, it's a targeted social engineering attack. Received a spear-phishing email that really seems to be sent by one of our portco with content that seems like general industry-relevant content. They are likely targeting all crypto peep

7:16 AM ∙ Mar 22, 2022

---

• Cheong 继续断言 Lazarus Group 黑客团队的幕后黑手是 BlueNoroff 。他还声称，同样的攻击者也是近期其他主要加密黑客的幕后黑手：

Arthur 🌔⛩️🦔👻 @Arthur_0x

Have strong evidence to believe this is the same group of hackers that exploited BZX, Hugh, MGNR and myself. The infamous Lazarus group.

11:26 AM ∙ Mar 22, 2022

---

什么是 BlueNoroff？

• 根据Cheong在Kaspersky上发表的关于BlueNoroff的文章，研究人员创造了“BlueNorOff”一词来描述他们在调查 2016 年 2 月孟加拉银行重大网络攻击时发现的高级长期威胁 (APT)团队。

• Kaspersky 一再指出，APT 与 Lazarus Group有关联，并且“通常具有 APT 的财务动机”。分析表明，该团队的功能“就像一个更大的 Lazarus 攻击者组织中的一个单位，能够利用其庞大的资源：无论是恶意软件植入、漏洞利用还是基础设施。”

• 虽然 BlueNoroff 以前针对主流银行机构，但近年来其进攻重点显然已转向加密货币公司和备受瞩目的加密货币人物。

• 在 Cheong 的钱包被黑之前，BlueNoroff 直到 2021 年 11 月才被认为是活跃的。。美国陆军估计 2020 年该组织有大约1,700 名贡献者。该组织规模庞大，经验丰富，擅长各种策略，如网络钓鱼。

分析攻击

• Arthur Cheong 的这次攻击与最近的 BlueNoroff 攻击风格完全一致。该组织首先从跟踪开始，即 BlueNoroff 研究加密货币组织的相关人员以及他们如何互动。

• 然后，他们学习如何在该组织内部和周围模仿、钓鱼、正常交互，即在看似正常的交互中转发受污染的电子邮件。

• 技术载体（例如通过 Google Drive 共享的文档）允许 BlueNoroff 运行恶意软件来感染并确定对受害者设备的访问权限。

• 在审查中，Cheong 可能被跟踪了数周甚至数月。然后，他的一位加密货币同事通过看似良性转发的电子邮件对他进行了鱼叉式网络钓鱼。然后，恶意软件允许攻击者破坏 Cheong 设备上的热钱包，他们从这些设备上抓取 NFT 和 ERC20 进行出售。

• 我们当然不会从 BlueNoroff 团队那里得到他们参与的供词。也就是说，鉴于所有可用的事实，我认为可以公平地说 BlueNoroff 目前是嫌疑人 # 1 。这次攻击符合他们最近的作案手法。当然，有时 APT 会模仿其他 APT 的风格来掩盖自己的痕迹，但奥卡姆剃刀定律告诉我们现在看看 BlueNoroff。至少可以说，Lazarus 集团和朝鲜有重大的动机和能力进行此类攻击。

回到主题：你应该怎么做？

• 硬件钱包（始终与互联网断开连接的物理设备）并不是完美的加密安全解决方案，但在这种情况下，它们绝对是让 Cheong 的 NFT 更难被窃取的一个很好的起点。切勿将具有重要价值的 NFT 存储在热的（即联网的）软件钱包中。

• Cheong 是加密生态系统中备受瞩目的目标，但在发生此类事件后，我认为每个人都值得反思并在需要时改进他们的加密操作安全性，因为很明显 APT 级别的参与者是在狩猎。我在加密操作安全上看到的一些很棒的指南包括：

  • Jason Choi 的自我监管 OpSec 技巧

  • OffcierCia的Crypto OpSec SelfGuard 路线图

  • Ken Chia存储比特币和加密货币的终极指南

  • P. Misirov （高级）如何将您的加密钱包存储在硬件上

• 担心您的计算机上可能存在恶意软件，并想查看您的MetaMask 浏览器扩展是否已注入恶意代码？有你可以寻找的踪迹。例如，在 Chrome 中，您可以转到扩展中心并检查您的 MetaMask 钱包的“来源”是否显示“Chrome 网上应用店”。如果它看起来像下面的内容并且您对更改无需确认负责，则您的 MetaMask 扩展可能会受到损害。

行动步骤

• 🔒 查看您的加密货币/ NFT 操作安全

• 🌌 阅读我的最新策略Cosmos Bankless初学者指南

---

作者简介

William M. Peaster 是Metaversal的专业作家和创作者——这是一份专注于加密经济中 NFT 出现的无银行通讯。他最近还在为 Bankless、JPG 等提供内容！