تمكّن بروتوكول الإقراض اللامركزي Venus Protocol من مساعدة أحد مستخدميه في استعادة أصول رقمية مسروقة بعد هجوم تصيّد إلكتروني مرتبط بمجموعة Lazarus الكورية الشمالية.
يوم الخميس، أعلن البروتوكول أنه ساعد مستخدمًا في استعادة ما قيمته 13.5 مليون دولار من العملات المشفّرة بعد حادثة التصيّد التي وقعت يوم الثلاثاء. وفي حينها، أوقف البروتوكول عمل منصته كإجراء احترازي وبدأ التحقيق.
ووفقًا لـVenus، ساعد التوقف المؤقت على منع أي تحركات إضافية للأموال، بينما أكّدت عمليات التدقيق أن العقود الذكية وواجهة المنصة لم تتعرض للاختراق.
تصويت طارئ يتيح استعادة الأموال
مكّن تصويت طارئ لحوكمة البروتوكول من تصفية المحفظة المخترقة قسرًا، ما أتاح مصادرة التوكنات المسروقة وتحويلها إلى عنوان مخصّص للاسترداد.
في تقرير ما بعد الحادثة، كشف Venus أن المهاجمين استخدموا نسخة خبيثة من تطبيق Zoom لخداع الضحية ومنحهُم صلاحيات تفويض للتحكم بالحساب.
هذا مكّنهم من الاقتراض والاسترداد نيابة عن الضحية، وسحب ملايين من العملات المستقرة والأصول المغلّفة.
شركاء الأمن، HExagate وHypernative، رصدوا المعاملة المشبوهة خلال دقائق، مما دفع لاتخاذ قرار إيقاف البروتوكول. وأوضحت Venus أن عملية الاسترداد اكتملت في أقل من 12 ساعة.
المتضرر Kuan Sun شكر الفرق المشاركة قائلًا:
"ما كان يمكن أن يتحول إلى كارثة كاملة أصبح معركة انتصرنا فيها بالفعل، بفضل مجموعة مذهلة من الفرق."
كما ساعدت شركات PeckShield وBinance وSlowMist في جهود الاسترداد.
ربط الهجوم بمجموعة Lazarus
ربطت شركة SlowMist الهجوم بمجموعة Lazarus، وهي جماعة قرصنة مدعومة من كوريا الشمالية سبق أن اتهمت بعمليات سرقة كبرى، منها اختراق جسر Ronin بقيمة 600 مليون دولار واختراق منصة Bybit بقيمة 1.5 مليار دولار.
وأكد Sun أن SlowMist قامت بعمل تحليلي موسع وكانت "من أوائل الجهات التي أشارت إلى أن مجموعة Lazarus تقف وراء هذا الهجوم."
تُعتبر مجموعة Lazarus جماعة قرصنة مرتبطة بجهاز الاستخبارات الكوري الشمالي.