Tidligere denne uken delte kryptohvalen Kuan Sun sin detaljerte opplevelse av å bli utsatt for et sofistikert phishing-angrep på sin X-konto.
Denne historien fungerer som en sterk advarsel til alle investorer, da han mistet og deretter gjenvant $ 13,5 millioner. Etter hvert som det digitale aktivamiljøet utvides, øker også risikoen for hacking. Hvordan kan investorer forhindre massive tap?
Et tilsynelatende ufarlig møte som ble et mareritt
Et phishing-angrep på tirsdag frarøvet Kuan Sun, en bruker av den desentraliserte utlånsplattformen Venus Protocol, hans kryptovaluta. Takket være rask respons og samarbeid fra Venus Protocol-teamet, klarte han imidlertid å gjenvinne de stjålne midlene.
Det utspekulerte angrepet begynte i april 2025 på Hong Kong Wanxiang-konferansen. Der introduserte en felles venn Sun for noen som hevdet å være en representant for Stack’s Asia Business Development. Denne typen nettverksbygging er vanlig i kryptoverdenen, og de la hverandre til på Telegram.
Den 29. august ba den såkalte “BD” om et enkelt Zoom-møte. Sun kom sent og la merke til at det ikke var lyd i rommet.
En pop-up-melding på nettsiden hans leste, “Mikrofonen din trenger en oppdatering.” Forvirret klikket Sun på oppgraderingsknappen—en fatal feil som satte fellen.
Sun innså senere at hackerne ikke handlet spontant. Han sa at det høyt tilpassede angrepet hadde vært i bevegelse siden mandag, og rettet seg spesifikt mot ham.
Etter “oppdateringen” begynte han å se merkelige meldinger på datamaskinen sin. Chrome-nettleseren ville lukke seg unormalt, og en “Gjenopprett faner?”-melding dukket opp.
Uten mistanke fortsatte Sun sin rutine og fikk tilgang til Venus Protocol gjennom nettleseren sin. Der fortsatte han med å utføre en uttak, en oppgave han hadde gjort utallige ganger før.
Kort tid etter ble datamaskinen hans tregere, Google-kontoen hans ble logget ut av Chrome, og merkelige, ukjente transaksjoner dukket opp i lommeboken hans. Han visste umiddelbart at noe var fryktelig galt.
Analysen antyder at hackerne erstattet hans ofte brukte Rabby-lommebokutvidelse med et ondsinnet program. Denne taktikken brukes ofte av Lazarus, den beryktede nordkoreanske hackergruppen.
Etter å ha fått lommebokgodkjenningsmyndighet, overførte de raskt ulike tokens, inkludert vUSDC, vETH, vWBETH og vBNB.
En rask oppgang og viktige lærdommer
Sun handlet raskt ved å kontakte blokkjede-sikkerhetsfirmaene Peckshield og Slowmist for veiledning. Han kontaktet også Venus Protocol-teamet for hjelp.
Som et resultat stoppet Venus Protocol umiddelbart plattformen som et forebyggende tiltak og startet en etterforskning.
De igangsatte deretter en nødavstemning for å tvangs-likvidere angriperens lommebok, noe som gjorde det mulig for Sun å lykkes med å gjenvinne sine $ 13,5 millioner.
På torsdag delte Sun sin historie og sine viktigste lærdommer. Han advarte om at nordkoreanske hackere i økende grad bruker en kombinasjon av sosial manipulering, deepfakes og trojanere.
Som et resultat kan det som ser ut til å være en legitim videokonferanse eller en normal Twitter-konto være helt falsk.
Han rådet spesielt brukere til å unngå Zoom-lenker fra andre og kun laste ned programtillegg fra offisielle kanaler. Han oppfordret dem også til aldri å klikke på “oppgrader”-lenker som vises i pop-up-vinduer.
Sun uttrykte sin takknemlighet til Venus-teamet for deres raske handling for å forhindre ytterligere skade. Han oppfordret alle til “alltid å være mistenksomme overfor forespørsler du mottar i dagliglivet, og alltid svare rolig.”