在一份联合国机密报告中,路透社披露,朝鲜黑客团伙Lazarus Group去年从一家加密货币交易所窃取资金,并在今年3月通过虚拟货币平台Tornado Cash洗钱1.475亿美元。
盗窃与洗钱细节
根据联合国安理会制裁委员会提交的文件,监察员正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击,涉及金额约36亿美元。其中包括去年年底HTX加密货币交易所被盗的1.475亿美元,这笔资金在今年3月通过Tornado Cash完成了洗钱。
2022年,美国对Tornado Cash实施制裁,2023年,其两名联合创始人被指控协助洗钱超过10亿美元,其中包括与Lazarus Group有关的网络犯罪。
加密货币侦探ZachXBT的调查显示,Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币洗钱为法定货币。
Lazarus Group的攻击策略
Lazarus Group长期以来被指控进行大规模的网络攻击和金融犯罪。他们的目标不仅限于特定行业或地区,而是遍布全球,从银行系统到加密货币交易所,从政府机构到私人企业。以下是几个典型的攻击案例,揭示Lazarus Group如何通过其复杂的策略和技术手段成功实施这些攻击。
社会工程和网络钓鱼攻击
Lazarus Group通过社会工程和网络钓鱼攻击,将欧洲和中东的军事和航空航天公司作为目标,在LinkedIn等平台上发布虚假招聘广告,诱骗员工下载带有恶意软件的PDF文件,从而实施攻击。这些攻击使得黑客能够窃取受害者系统中的敏感信息。
在针对加密货币支付提供商CoinsPaid的为期六个月的行动中,Lazarus Group使用类似的方法,导致CoinsPaid被盗3700万美元。黑客向工程师发送虚假的工作机会,同时发起分布式拒绝服务攻击,并进行暴力破解密码。
攻击CoinBerry和Unibright
2020年8月24日,加拿大加密货币交易所CoinBerry的钱包被盗,黑客地址为:0xA06957c9C8871ff248326A1DA552213AB26A11AE。
2020年9月11日,Unibright由于私钥泄露,多个钱包中发生了40万美元的未经授权转账,黑客地址为:0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43。
2020年10月6日,由于安全漏洞,CoinMetro热钱包中未经授权转移了价值75万美元的加密资产,黑客地址为:0x044bf69ae74fcd8d1fc11da28adbad82bbb42351。
资金流向图
2021年初,各个攻击事件的资金汇集到地址:0x0864b5ef4d8086cd0062306f39adea5da5bd2603。2021年1月11日,该地址在Tornado Cash存入了3000ETH,随后通过0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129地址向Tornado Cash存入了1800多枚ETH。随后,攻击者从Tornado Cash中提取近4500枚ETH到0x05492cbc8fb228103744ecca0df62473b2858810地址。
到2023年,攻击者经过多次转移和兑换,最终将资金发送至Noones deposit address和Paxful deposit address。
Nexus Mutual创始人遭黑客攻击
2020年12月14日,Nexus Mutual创始人Hugh Karp被盗37万NXM(价值830万美元)。被盗资金在多个地址间转移,并兑换为其他资金,通过跨链操作和混币平台进行资金混淆,最终发送到提现平台。
Steadefi和CoinShift攻击
2023年8月,Steadefi事件中的624枚被盗ETH和Coinshift事件中的900枚被盗ETH被转移到Tornado Cash,随后立即提取到其他地址,并最终通过中转和兑换,发送到Paxful deposit address和Noones deposit address。
事件总结
Lazarus Group通过跨链转移和混币平台洗钱,最终将被盗资金提取到固定的地址群进行提现操作。在Lazarus Group连续、大规模的攻击下,Web3行业面临着巨大的安全挑战。