Tidigare i veckan delade kryptovalhajen Kuan Sun sin detaljerade upplevelse av att bli utsatt för en sofistikerad nätfiskeattack på sitt X-konto.
Denna berättelse är en tydlig varning till alla investerare, eftersom han förlorade och sedan återfick 13,5 miljoner USD. När den digitala tillgångsekosystemet växer, ökar också risken för hacking. Hur kan investerare förhindra stora förluster?
Ett till synes ofarligt möte som blev en mardröm
En nätfiskeattack i tisdags rånade Kuan Sun, en användare av den decentraliserade låneplattformen Venus Protocol, på sin kryptovaluta. Men tack vare snabb respons och samarbete från Venus Protocol-teamet kunde han återfå de stulna medlen.
Den noggrant planerade attacken började i april 2025 på Hong Kong Wanxiang-konferensen. Där introducerade en gemensam vän Sun för någon som påstod sig vara en representant för Stack’s Asia Business Development. Denna typ av nätverkande är vanligt i kryptovärlden, och de lade till varandra på Telegram.
Den 29 augusti bad den så kallade “BD” om ett enkelt Zoom-möte. Sun anslöt sig sent och märkte att det inte fanns något ljud i rummet.
Ett popup-meddelande på hans webbsida löd, “Din mikrofon behöver en uppdatering.” Förvirrad klickade Sun på uppdateringsknappen—ett ödesdigert misstag som satte fällan.
Sun insåg senare att hackarna inte agerade spontant. Han sa att den mycket anpassade attacken hade varit i rörelse sedan måndag, riktad specifikt mot honom.
Efter “uppdateringen” började han se konstiga meddelanden på sin dator. Chrome-webbläsaren stängdes onormalt, och ett meddelande om att “Återställa flikar?” dök upp.
Utan att misstänka något fortsatte Sun sin rutin och gick in på Venus Protocol via sin webbläsare. Där genomförde han ett uttag, en uppgift han hade gjort otaliga gånger tidigare.
Kort därefter saktade hans dator ner, hans Google-konto loggades ut från Chrome, och konstiga, okända transaktioner dök upp i hans plånbok. Han förstod genast att något var allvarligt fel.
Analysen tyder på att hackarna ersatte hans ofta använda Rabby-plånbokstillägg med ett skadligt program. Denna taktik används ofta av Lazarus, den ökända nordkoreanska hackargruppen.
Efter att ha fått plånboksauktoritet överförde de snabbt olika tokens, inklusive vUSDC, vETH, vWBETH och vBNB.
En snabb återhämtning och viktiga lärdomar
Sun agerade snabbt genom att kontakta blockkedjesäkerhetsföretagen Peckshield och Slowmist för vägledning. Han kontaktade också Venus Protocol-teamet för hjälp.
Som ett resultat pausade Venus Protocol omedelbart plattformen som en förebyggande åtgärd och inledde en utredning.
De inledde sedan en nödstyrningsomröstning för att tvångslikvidera angriparens plånbok, vilket gjorde det möjligt för Sun att framgångsrikt återfå sina 13,5 miljoner USD.
På torsdagen delade Sun sin berättelse och sina viktiga lärdomar. Han varnade för att nordkoreanska hackare i allt högre grad använder en kombination av social ingenjörskonst, deepfakes och trojaner.
Som ett resultat kan det som verkar vara en legitim videokonferens eller ett normalt Twitter-konto vara helt falskt.
Han rådde specifikt användare att undvika Zoom-länkar från andra och att bara ladda ner programtillägg från officiella kanaler. Han uppmanade dem också att aldrig klicka på “uppgradera”-länkar som dyker upp i popup-fönster.
Sun uttryckte sin tacksamhet till Venus-teamet för deras snabba agerande för att förhindra ytterligare skada. Han uppmanade alla att “alltid vara misstänksamma mot alla förfrågningar du får i vardagen och alltid svara lugnt.”