Звіт: як Lazarus Group відмили $200 млн від 25 атак на крипторинок
Ончейн-дослідник ZachXBT відстежив рух $200 млн, викрадених хакерами Lazarus Group унаслідок 25 кібератак у період із серпня 2020 по жовтень 2023 року.
2020 рік: зломи CoinBerry, Unibright і CoinMetro
У серпні зловмисники вивели $370 000 із гарячих біткоїн- і Ethereum-гаманців канадської криптобіржі CoinBerry. У вересні — $400 000 з платформи Unbright, у жовтні — $750 000 у CoinMetro.
Кошти від цих трьох крадіжок Lazarus Group переміщала через проміжні гаманці, перш ніж консолідувала на одній адресі на початку січня 2021 року.
Потім кошти частинами надходили на рахунок хакерів у Tornado Cash, а потім виводилися на Ethereum-адресу, після чого об’єдналися з активами, отриманими від інших крадіжок угруповання.
Того ж року кілька переказів надійшло позабіржовому трейдеру з КНР Ву Хуейхуею, пізніше внесеному до списку санкцій OFAC.
З липня 2022 до листопада 2023 року USDT невеликими партіями виводили на P2P-платформи Paxful і Noones.
Грудень 2020 року: злом засновника Nexus Mutual Г’ю Карпа
14 грудня хакери отримали віддалений доступ до комп’ютера Карпа і викрали з його MetaMask 370 000 NXM ($8,3 млн).
З 16 по 17 грудня 137,1 BTC із цієї суми шістьма транзакціями надійшли на централізований сервіс мікшування ChipMixer. Через кілька годин 136 BTC були виведені назад в Ethereum через Ren Project і консолідовані з коштами від інших крадіжок.
Пройшовши через Tornado Cash, активи опинилися на новому Ren-гаманці.
У березні 2021 року викрадену криптовалюту багаторазово проганяли між мережами біткоїна і Ethereum за допомогою ChipMixer. У квітні невелику частину BTC продали Ву Хуейхуею. Решта суми надійшли на біржу Bixin, платформи Paxful і Noones.
Квітень 2021 року: злом засновника EasyFi Анкітта Гаура
За аналогією з попереднім кейсом у Гаури вкрали $81 млн у різних токенах через шкідливу версію MetaMask.
Далі активи пішли на нові адреси за допомогою кросчейн-переказів, потім вирушили в ChipMixer і повернулися в мережу Ethereum через протокол Ren.
У червні 2022 року кошти з двох адрес надійшли на нові EOA-адреси, звідки консолідувалися з іншими незаконно отриманими криптовалютами. Далі серед інших коштів вони пішли на біржу Binance.
Ще одна партія коштів виводилася на нові Ethereum-гаманці у вигляді renBTC через ChipMixer, згодом обмінюючись на DAI і wBTC.
Фінальні переміщення знову привели дослідників до Paxful і Noones, куди активи у вигляді USDT надходили невеликими партіями до листопада 2023 року.
Липень 2021 рік: злом Bondly
Збиток від інциденту склав $8,5 млн в Ethereum, BSC і Polygon.
Усі активи пройшли міксер Tornado Cash і через мультичейн-мости надійшли на нові Ethereum-адреси.
У червні 2022 року об’єднані з іншими викраденими коштами вони потрапили на Binance. І знову до листопада 2023 року партії USDT йшли на Paxful і Noones.
Серпень і вересень 2021 року: невідомі хаки
Через компрометацію закритого ключа кілька людей втратили $2 млн. Хакери одразу конвертували активи в ETH, вивели на єдину адресу і відправили в Tornado Cash.
Через проміжний гаманець кошти об’єднали з іншими нелегальними доходами та розподілили по біржах.
Жовтень 2021 року: злам MGNR і PolyPlay
MGNR втратила $24 млн. Конвертовані в Ethereum активи двома частинами пройшли через Tornado Cash і опинилися на гаманцях, які раніше використовувалися Lazarus Group. З літа 2022 року USDT йшли на Paxful і Noones.
Збиток PolyPlay склав $1,6 млн. Відмивання відбувалося за аналогічною схемою.
Листопад 2021: злом bZx
Фішингова атака на протокол принесла хакерам $55 млн. Уся криптовалюта після Tornado Cash була додатково заміксована з раніше відмитими активами від перерахованих вище зломів і надійшла на Paxful.
Серпень 2023 року: хакі Steadefi і CoinShift
Втрати користувачів склали $1,2 млн. У випадку зі Steadefi хакери прикинулися співробітником інвестиційного фонду Spirit Blockchain Group.
CoinShift публічно не заявляла про інцидент, але кошти з прив’язаних до засновника платформи мультисиг-гаманців було одномоментно виведено 16 серпня.
Викрадений Ethereum від обох зломів частинами пішов на Tornado Cash з різницею в кілька хвилин.
Розподілені за трьома адресами активи надалі потрапили на єдиний гаманець. Після конвертації в USDT вони надійшли на рахунки хакерів у Paxful і Noones.
Результати розслідування
Загалом акаунти на P2P-платфомах Paxful і Noones, що належать Lazarus Group, отримали $44 млн у період із липня 2022 по листопад 2023 року. Надалі хакери перейшли на нові депозитні адреси.
Усю цю суму було конвертовано у фіат за допомогою банківських переказів або отримання готівки. Традиційно з цією метою Lazarus Group вдається до послуг китайських позабіржових трейдерів.
У листопаді 2023 року Tether внесла $374 000 із викрадених хакерами коштів до чорного списку. Неназвана сума також заморожена на централізованих біржах у четвертому кварталі 2023 року.
Крім того, троє з чотирьох емітентів стейблкоїнів заблокували додаткові $3,4 млн, на адресах, що належать кіберзлочинцям.
Раніше ForkLog повідомляв, що Lazarus Group створила фейкового інвестора для атаки на DeFi-сегмент.