Ziemeļkorejas hakeri savieno $3.2 miljonus nozagto līdzekļu

Kripto izmeklētāji izsaka brīdinājumus pēc tam, kad 16. maijā no vairākiem Solana makiem tika izsūknēti $3.2 miljoni, ko viņi saka, ka tas nes Ziemeļkorejai saistīto Lazarus grupas pazīmes. Nozagti līdzekļi tika ātri pārdoti uz ķēdes un pārnesti uz Ethereum, pirms daļa no tiem tika iznīcināta caur Tornado Cash.

16. maijā upura Solana adreses tika iztukšotas no žetoniem, un līdzekļi tika konvertēti uz Ethereum, izmantojot tiltu, pirms daļa no tiem tika iemaksāta Tornado Cash.

Blokķēdes pētnieks ZachXBT publiski atzīmēja ekspluatāciju, zīmējot paralēles ar agrākiem Lazara aktivitātēm.

Hakeri savienoja nozagtos līdzekļus

Blokķēdes detektīvi pirmie izsludināja trauksmi, novērojot lielus pārskaitījumus no adreses “C4WY…e525” uz Solana.

Šīs transakcijas, kas saistītas ar ļaunprātīgo Lazara grupu, ietvēra nozagto žetonu pārvietošanu cauri tiltam un to pārveidošanu par Ethereum. ZachXBT atzīmēja uzbrukumu, uzraugot tilta aktivitāti un izsekojot līdzekļus, kas beigu beigās nonāca Ethereum maku tīklā.

25. jūnijā un atkal 27. jūnijā 400 ETH tika nosūtīti uz Tornado Cash divos atsevišķos noguldījumos. Šie 800 ETH darījumi, kas kopā veido apmēram $1.6 miljonus, atbilst Lazara grupas labi dokumentētajai naudas atmazgāšanas taktikai.

Pēc augsta profila uzbrukumiem, piemēram, Bybit, kurā 2025. gada februārī tika nozagti $1.5 miljardi, un $100 miljoni no Harmony’s Horizon tilta 2022. gadā, starp citiem ievērojamiem uzbrukumiem, Lazars atkārtoti izmantoja Tornado Cash, kopā ar decentralizētām biržām un krustpārvades tiltiem, lai atmazgātu līdzekļus, slēpjot darījumu pēdas.

Aptuveni $1.25 miljoni joprojām atrodas maku adresē, kas identificēta kā “0xa5…d528” Ethereum, turēta DAI un ETH kombinācijā. Analītiķi spekulē, ka šie līdzekļi varētu būt gan novietoti nākotnes naudas atmazgāšanai, gan apzināti turēti neaktīvi, lai samazinātu atklāšanas risku.

Lazara grupa ir aktīva kopš 2017. gada

Lazara grupa ir ieguvusi reputāciju kā visprolificākā valsts saistītā kibernoziegumu organizācija, ar Ziemeļkorejas sankcijām, kas tos norakstījusi kā uzlabotu pastāvīgu draudu, kas saistīts ar Phenjanas elitārām militārās izlūkošanas vienībām. Gadu gaitā viņi ir nozaguši miljardus kriptovalūtā kopš 2017. gada.

Viņu modus operandi bieži sākas ar pikšķerēšanu vai ļaunprogrammatūras bāzes infiltrāciju galvenajos darbiniekos, izmantojot viedpārskatu trūkumus vai maku ievainojamības. Kad līdzekļi ir iegūti, tie tiek ātri pārvērsti likvīdās aktīvos, sadalīti vairākos makos un atmazgāti pa ķēdēm, izmantojot mikserus, piemēram, Tornado Cash, un pakalpojumus, kas nodrošina tūlītējus maiņas darījumus bez Know Your Customer (KYC) prasībām.

Tornado Cash paliek centrālais Lazara naudas atmazgāšanas stratēģijā. Lai gan ASV sankcijas tika noteiktas 2022. gadā, decentralizētā mitināšana un nemainīgums ļāvuši pakalpojumam izvairīties no pastāvīgas slēgšanas. 2025. gada janvārī ASV apelācijas tiesa atcēla šīs sankcijas, atsaucoties uz brīvās runas apsvērumiem, neskatoties uz pieaugošajiem pierādījumiem, kas saista Lazaru ar turpinātu mikseru izmantošanu.

Regulatori un biržas tagad var veikt pasākumus, lai atzīmētu iezīmētās adreses kā aizdomīgas. Tomēr, ņemot vērā Lazara naudas atmazgāšanas cauruļu ātrumu un sarežģītību, mikseru pakalpojumi joprojām pierāda, ka ir pietiekami, lai slēptu viņu nozagto līdzekļu pārvietošanu.

Tavi kriptovalūtu jaunumi pelna uzmanību - KEY Difference Wire novieto tevi 250+ labākajās vietnēs