FBI发布DMM交易所被盗4500枚比特币事件报告 朝鲜黑客通过复杂社工方式完成

2024年5月日本加密货币交易所DMM遭遇意外事件：4500枚比特币被转入到某个未知的外部地址，当时这些比特币价值3.49亿美元。事后DMM并没有发布完整的调查报告，但通过母公司提供的资金支持和外部融资，共拿到550亿日元的资金用于采购4500枚比特币将窟窿堵上，因此DMM的所有用户并未受到任何损失。

日前美国联邦调查局(FBI)将此次攻击的幕后黑手归咎于代号为TraderTraitor的黑客组织，该黑客组织与朝鲜黑客有关，主要目标就是在加密货币领域发起攻击以窃取加密货币。

FBI披露的调查报告则与当时蓝点网猜测的有些类似但真实情况不同，蓝点网当时认为比特币被转入某个从未使用的外部地址，必然是有DMM内鬼的配合否则这个地址没有传播路径。

真实情况确实更复杂，到处透露着社会工程学攻击的气味：

TraderTraitor黑客最初在2024年3月开展行动，先在微软旗下的职场社交平台LinkedIn上发布消息假装是合法的招聘者，然后日本加密货币钱包开发商Ginco的某位员工准备求职而联系了黑客。

黑客向Ginco的这名员工发送工作建议并要求在GitHub上进行入职前测试，这名员工则可以访问Ginco的加密货币钱包管理系统。

受害者收到黑客发送的一段恶意Python代码然后将其复制到个人GitHub页面进行测试，这段代码随后感染这名员工的计算机并渗透到Ginco，最后横向传播到DMM。

到2024年5月中旬黑客利用会话cookie信息冒充受感染的员工，成功获得Ginco未加密通信系统的访问权限；到2024年5月下旬，攻击者可能利用此访问权限操纵了DMM员工的合法请求，可能是替换了目标钱包地址为黑客控制的钱包地址，从而导致4502.9枚比特币被窃取。

从上面的攻击流程可以看到这些黑客实施的是非常复杂的社会工程学攻击，尤其最初肯定调查了准备求职的Ginco员工，以这名员工为突破口完成了整个攻击流程。

TraderTraitor也被称为UNC4899、JadeSleet和SlowPisces，自2022年开始活跃并利用虚假的应用程序专注于区块链领域的攻击。