臺灣加密貨幣交易所幣託傳出5月遭遇攻擊事故，攻擊者身分是北韓駭客Lazarus

北韓駭客鎖定加密貨幣交易所的情況，已有不少研究人員揭露相關資安事故，但過往大多發生在國外，6月初臺灣加密貨幣交易所幣託（BitoPro）傳出遭駭並得到證實，最近該公司公布調查結果。

這起事故最早是由區塊鏈偵探ZachXBT於6月2日揭露，他指出幣託疑似在5月8日遭到攻擊，多個熱錢包出現異常資金外流，損失金額約為1,150萬美元，由於事發當下該公司僅以臨時系統維護為由暫停加密貨幣加值和提領業務，後續並未透露發生資安事故，ZachXBT認為幣託應出面說明。此消息引起加密貨幣社群高度關注，懷疑該公司想隱匿資安事故；金管會證券期貨局也證實此事，要求幣託發布正式聲明說明，幣託才坦承在進行錢包系統升級與資產移轉作業的過程裡，舊熱錢包在調度資金過程遭到攻擊。不過，當時幣託僅強調用戶權益完全不受影響，並未透露其他細節。

6月19日幣託發布公告，表示他們委託資安業者經過一個月的調查，確認攻擊者的身分是北韓駭客組織Lazarus，並指出攻擊手法與過往該組織針對銀行SWIFT系統進行非法轉帳，以及其他大型加密貨幣交易所竊取數位貨幣的事故相似。

針對事故發生的過程，幣託表示駭客鎖定負責雲端業務的成員進行社交工程攻擊，在成功於電腦植入惡意軟體後，繞過該公司的防毒、端點防護，以及雲端安全檢測系統，駭客潛伏在此名員工的電腦，藉由觀察日常操作的行為，進而迴避資安人員的監控。最終挾持AWS連線階段（Session）的Token，而能繞過多因素驗證（MFA）機制，於該公司AWS環境與C2建立連線，並將惡意指令碼轉移到熱錢包主機。

直到5月9日凌晨1時左右，駭客模擬合法交易行為啟動惡意指令碼，從熱錢包移轉加密貨幣，直到幣託的錢包水位監控系統偵測到異常並發出警示，資安團隊啟動應變機制並阻斷駭客行為。該公司第一時間進行相關檢查並重新建立錢包系統，後續於5月19日將熱錢包位址提供給區塊鏈去匿名化威脅情報平臺Arkham，目的是更新平臺水位與相關資料。