史上最猖狂的加密货币盗窃团伙?详细分析黑客组织Lazarus Group洗钱方式

互联网 阅读 544 2024-06-11 15:00:00

此前,路透社获得的一份联合国机密报告显示,朝鲜黑客团伙Lazarus Group去年从一家加密货币交易所窃取资金后,今年 3 月份通过虚拟货币平台 Tornado Cash 洗钱 1.475 亿美元。

监察员在之前提交的一份文件中告诉联合国安理会制裁委员会,他们一直在调查 2017 年至 2024 年间发生的 97 起疑似朝鲜黑客针对加密货币公司的网络攻击,价值约 36 亿美元。其中包括去年年底的一次攻击,HTX 加密货币交易所的 1.475 亿美元被盗,然后在今年3月完成洗钱。

美国于 2022 年对 Tornado Cash 实施制裁, 2023 年,其两名联合创始人被指控协助洗钱超过 10亿美元,其中包括与朝鲜有关的网络犯罪组织Lazarus Group。

根据加密货币侦探 ZachXBT 的调查,Lazarus Group在 2020年 8 月至 2023 年 10月期间将价值 2 亿美元的加密货币洗钱为法定货币。

在网络安全领域,Lazarus Group长期以来一直被指控进行大规模的网络攻击和金融犯罪。他们的目标不仅仅限于特定行业或地区,而是遍布全球,从银行系统到加密货币交易所,从政府机构到私人企业。接下来,我们将重点分析几个典型的攻击案例,揭示Lazarus Group如何通过其复杂的策略和技术手段,成功实施了这些惊人的攻击。

LazarusGroup操纵社会工程和网络钓鱼攻击

这个案例来自于欧洲相关媒体报道,Lazarus 此前将欧洲和中东的军事和航空航天公司作为目标,在 LinkedIn 等平台上发布招聘广告来欺骗员工,要求求职者下载部署了可执行文件的 PDF ,然后实施钓鱼攻击。

社会工程和网络钓鱼攻击都试图利用心理操纵来诱骗受害者放松警惕,并执行诸如点击链接或下载文件之类的行为,从而危及他们的安全。

他们的恶意软件使特工能够瞄准受害者系统中的漏洞并窃取敏感信息。

Lazarus 在针对加密货币支付提供商 CoinsPaid 的为期六个月的行动中使用了类似的方法,导致CoinsPaid被盗 3700万美元。

在整个活动过程中,它向工程师发送了虚假的工作机会,发起了分布式拒绝服务等技术攻击,以及提交许多可能的密码进行暴力破解。

制造CoinBerry、Unibright等攻击事件

2020年 8 月 24 日,加拿大加密货币交易所 CoinBerry 钱包被盗。

黑客地址:

0xA06957c9C8871ff248326A1DA552213AB26A11AE

2020年 9 月 11 日,Unbright 由于私钥泄露,团队控制的多个钱包中发生了 40万美元的未经授权的转账。

黑客地址:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020年 10月 6 日,由于安全漏洞,CoinMetro热钱包中未经授权转移了价值 75 万美元的加密资产。

黑客地址:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT:被盗资金流向图

2021年初,各个攻击事件的资金汇集到了以下地址:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021年1月11日,0x0864b5地址在Tornado Cash存入了3000ETH,随后再次通过0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129地址向Tornado Cash存入了1800多枚ETH。

随后在1月11日至1月15日,陆续从Tornado Cash中提取了近4500枚ETH到0x05492cbc8fb228103744ecca0df62473b2858810地址。

到2023年,攻击者经过多次转移兑换,最终汇集到了其他安全事件资金归集提现的地址,根据资金追踪图可以看到,攻击者陆续将盗取的资金发送至Noones deposit address以及Paxful deposit address。

NexusMutual创始人(HughKarp)遭黑客攻击

2020年 12 月 14 日,Nexus Mutual 创始人 Hugh Karp 被盗37万NXM(830万美元)。

Beosin KYT:被盗资金流向图

被盗资金在下面几个地址之间转移,并且兑换为其他资金。

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b

0x09923e35f19687a524bbca7d42b92b6748534f25

0x0784051d5136a5ccb47ddb3a15243890f5268482

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group通过这几个地址进行了资金混淆、分散、归集等操作。例如,部分资金通过跨链到比特币链上,再通过一系列转移跨回以太坊链上,之后通过混币平台进行混币,再将资金发送至提现平台。

2020年12月16日-12月20日,其中一个黑客地址0x078405将超2500ETH发送至Tornado Cash,几个小时之后,根据特征关联,可以发现0x78a9903af04c8e887df5290c91917f71ae028137地址便开始了提款操作。

黑客通过转移以及兑换,将部分资金转移至上一个事件涉及的资金归集提现的地址。

之后,2021年5月-7月,攻击者将1100万USDT转入Bixin deposit address。

2023年2月-3月,攻击者通过0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,将277万USDT发送到Paxful deposit address。

2023年4月-6月,攻击者通过0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,将840万USDT发送到Noones deposit address。

Steadefi和CoinShift黑客攻击

Beosin KYT:被盗资金流向图

Steadefi事件攻击地址

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Coinshift事件攻击地址

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

2023年8月,Steadefi事件的624枚被盗ETH被转移到Tornado Cash,同一个月,Coinshift事件的900枚被盗ETH被转移到Tornado Cash。

在转移ETH到Tornado Cash之后,立即陆续将资金提取到下面地址:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023年10月12日,上述三个地址将从Tornado Cash提取的资金都发送到了0x5d65aeb2bd903bee822b7069c1c52de838f11bf8地址上。

2023年11月,0x5d65ae地址开始转移资金,最终通过中转和兑换,将资金发送到了Paxful deposit address以及Noones deposit address。

事件总结

以上介绍了朝鲜黑客Lazarus Group过往几年的动态,并对其洗钱的方式进行了分析与总结:Lazarus Group在盗取加密资产后,基本是通过来回跨链再转入Tornado Cash等混币器的方式进行资金混淆。在混淆之后,Lazarus Group将被盗资产提取到目标地址并发送到固定的一些地址群进行提现操作。此前被盗的加密资产基本上都是存入Paxful deposit address以及Noones deposit address,然后通过OTC服务将加密资产换为法币。

在Lazarus Group连续、大规模的攻击下,Web3行业面临着较大的安全挑战。Beosin持续关注该黑客团伙,将对其动态和洗钱方式进行进一步的追踪,帮助项目方、监管与执法部门打击此类犯罪,追回被盗资产。

免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
上一篇:专访Robinhood Crypto总经理:收购 Bitstamp 是为扩展全球市场,也是对美国监管环境的无奈 下一篇:ZKSync空投规则终于出炉!如何分配?谁有资格获得?

您可能感兴趣

  • zkSync深陷“老鼠仓”质疑:仅10%地址符合空投资格,有女巫地址获数百万ZK代币
    zkSync深陷“老鼠仓”质疑:仅10%地址符合空投资格,有女巫地址获数百万ZK代币

    作者:Nancy,PANews社区翘首以待多时后,6月11日,zkSync终于公布发币计划,超36亿枚ZK代币分发计划使其成为规模最大的L2空投项目。然而,这场等待4年之久的空投盛宴仅属于10%合格地址的胜利,zkSync被指背刺社区利益。与此同时,zkSync的空投规则也因不透明、代币分配集中、女巫地址获大量空投、最低分配额被回收等陷入“老鼠仓”风波,且官方“事不关己”的态度更是激起社区的愤怒。受社区不满影响,Whales Market数据显示,过去24小时,zkSync代币ZK的场外价格较高点下跌超5

    每日资讯 2024-06-12 21:01 777
  • 解析MOPN的机制设计和经济模型:如何设计一款NFT放置挖矿全链游戏?
    解析MOPN的机制设计和经济模型:如何设计一款NFT放置挖矿全链游戏?

    作者:Shew Wang & 白丁,极客web3摘要:可能每个人都有自己设计一款游戏的冲动,闲暇时的各种脑洞如果组合到一起,能否促成一款游戏的诞生?如果让你自己设计一款全链游戏,你会怎么做?可能想着容易做起来难,如果你真的下场设计一款全链游戏,需要考虑的问题其实比想象的更多更复杂。本文以一款名为MOPN的NFT放置挖矿游戏为例,其主要玩法是在有限的公共土地上放置NFT来赚取收益,即放置挖矿。在设计这款游戏时,游戏设计者不但要考虑为其原生Token制造销毁/通缩场景,还要思考怎么反女巫、为关键的数据指标构造

    每日资讯 2024-06-12 21:00 440
  • Web3普法丨发土狗币,到底涉嫌何种犯罪?
    Web3普法丨发土狗币,到底涉嫌何种犯罪?

    什么是土狗币?一个简单的理解,就是除比特币、以太坊等市值大、流动性强的主流加密货币以外的,由私人(个人、法人或非法人实体)直接发行的“非主流”加密货币,大部分的土狗币甚至连白皮书都没有。近期,飒姐团队关注到,某打牌新闻媒体发布了一篇名为《首例发行虚拟币涉刑案引争议:撤回流动性致炒币亏损是否构成诈骗》的新闻,报道了一位在海外某公链上发行土狗币后,被我国司法机关以诈骗罪定罪处罚的00后同学。说实话,币圈此类刑事案件其实并不少见,当然也很难说是我国首例,类似因撤回流动性而涉嫌犯罪的案件飒姐团队其实已经处理过不少

    每日资讯 2024-06-12 20:01 798
  • frxETH TVL骤降,隐藏在 LSD 积分战争背后的变数
    frxETH TVL骤降,隐藏在 LSD 积分战争背后的变数

    撰文:StableScarab编译:Tyler作为收益最高的 ETH LSD,Frax Finance 所推出的 frxETH 在过去 3 个月却为何突然减少了 10 万枚 ETH 的 TVL?本文就旨在帮助大家了解竞争激烈的 ETH 质押市场,以及 Frax Finance 背后所折射出的深层次因素。什么是 frxETH?frxETH 是 Frax Finance 推出的以太坊稳定币,由 ETH 直接质押后生成,且 frxETH(sfrxETH)采用了双代币设计,这也助力其成为当前收益率最高的 ETH

    每日资讯 2024-06-12 20:01 64
  • 机构集体唱多惨遭“打脸”,BTC后市行情会如何发展?
    机构集体唱多惨遭“打脸”,BTC后市行情会如何发展?

    原创 | Odaily星球日报作者 | Azuma集体看多的机构把时针拨回到上一周,这几乎是三月市场进入调整阶段之后,机构看多预期最为一致的时段了。6 月 3 日,Bitfinex 在报告中表示,比特币自三月份以来的下跌可能是由长期持有者抛售所致,然而链上数据显示这一趋势已经停滞,投资者正在积累比特币。6 月 4 日,CryptoQuant 在报告中指出,50% 的长期比特币供应处于“不活跃”状态。在该机构跟踪的钱包中,比特币的持有量没有任何变动或变化。这被认为是一个强烈的长期持有信号,可能预示着价格的进

    每日资讯 2024-06-12 20:00 571
  • Symbiotic架构简析:灵活且无需许可的Thin Coordination Layer
    Symbiotic架构简析:灵活且无需许可的Thin Coordination Layer

    昨日,再质押项目 Symbiotic宣布正式推出,并完成了由 Paradigm 和 Cyber Fund 领投的 580 万美元种子轮融资。根据介绍,Symbiotic 是一个无需许可的共享安全协议。共享安全(Shared security)指的是多个网络可以共享同一组节点运营商的服务和安全保障,从而提高资本效率和安全性。该概念此前已经在 EigenLayer 重质押中得到应用。虽然和 EigenLayer 同属于重质押赛道,但与 EiegnLayer 不同的是,Symbiotic 允许用户质押的代币范围

    每日资讯 2024-06-12 19:00 83
  • ZKsync空投细则:期盼已久的代币分配终于来了
    ZKsync空投细则:期盼已久的代币分配终于来了

    史上规模最大Layer2 项目ZKsync空投终于来了。6月11日,ZK Nation 在 X 平台发文宣布,zkSync 空投查询已上线,将于下周向早期用户和贡献者空投 36.75 亿枚 ZK 代币,占 ZK 代币总供应量 210 亿的 17.5%。同时表示,这将是一次性空投,用户将从下周开始直到2025 年 1 月 3 日期间都可以领取他们的ZK空投代币。

    每日资讯 2024-06-12 18:54 517
  • 美式闹剧:拜登长子再次判定有罪,特朗普公开支持BTC
    美式闹剧:拜登长子再次判定有罪,特朗普公开支持BTC

    美国大选前景下,特朗普和拜登的家庭和政治问题受关注。特朗普支持比特币挖矿,但BTC价值波动,市场情绪谨慎。摩根大通预测特朗普胜选,预计在贸易及投资议题上特朗普将更多地使用行政命令。

    每日资讯 2024-06-12 18:36 505