币託BitoPro遭骇调查是北韩拉撒路Lazarus！社交工程攻击窃走1150万美元

BitoPro集团币託交易所惊传在5月遭到骇客攻击，遭窃超过千万美元资产，当下攻击调查报告出炉。
（前情提要：币託BitoPro回应骇客攻击！5月转移热钱包遭窃，储备充足完全不影响营运 ）
（背景补充：ZachXBT：币託BitoPro疑在5月8日遭骇客攻击损失1150万美元 ）

本土加密交易平排币託BitoPro在5月爆发遭骇事件，在该公司转移热钱包时共有 1150 万美元加密资产遭窃转出，今日（19）币託公告调查结果，称是北韩之名骇客组织「拉撒路集团」（Lazarus Group）所为，后续由检警持续追查。

币託公告称，遭骇经近一个月的调查后，根据币託资安团队与第三方专业机构于6月11日联合出具的鉴识报告指出，初步排除内部人员涉案，该攻击手法与过往多起国际重大案件模式相似，包含全球多间银行SWIFT系统非法转帐案及国际大型加密货币交易所资产盗窃事件，皆为北韩骇客组织『拉撒路集团』（Lazarus Group）所为。

币託公告骇客手法

币託在公告内说明了被骇经过，开头也是经由打击单点员工的「社交工程攻击」：

骇客透过对一名负责云端作业的同仁进行社交工程攻击，成功植入木马程式，绕过、端点防护、防毒及云端安全侦测等防护系统，并潜伏于该工程同仁电脑中，观察其日常操作行为，以规避资安人员的例行监控。骇客劫持 AWS Session Token 绕过多重身份验证 (MFA)，在 AWS 环境中透过C2伺服器发送指令，将恶意脚本悄悄移转至热钱包主机，伺机发动攻击。

骇客经过长时间观察，锁定平台进行钱包系统升级与资产移转作业期间，模拟日常操作行为发动攻击。5 月 9 日凌晨 1 时左右，骇客启动恶意脚本，模拟合法交易，自热钱包非法转移加密货币。直到钱包水位监控系统侦测到异常并发出警示后，资安团队即刻启动应变机制，包含紧急关闭热钱包系统、更换所有关联金钥、隔离并重建受影响系统与终端设备、扩大监控并持续追蹤异常行为，进一步阻断骇客行为。

币託称，目前该事件已移交由刑事单位侦办与鉴识中，平台已于第一时间重新检查，并重建钱包系统，并于 5 月 19 日将热钱包地址主动提供给链上数据追蹤平台 Arkham，以更新平台水位等相关数据。

截至 6 月 19 日，该页面已更新部分钱包地址 (https://intel.arkm.com/explorer/entity/bitopro) ，币託用户可前往查阅。

币託呼吁业界提高警觉，未来也将持续强化平排资安技术与管理流程，并积极交流经验。