Звіт: як Lazarus Group відмили $200 млн від 25 атак на крипторинок

Ончейн-дослідник ZachXBT відстежив рух $200 млн, викрадених хакерами Lazarus Group унаслідок 25 кібератак у період із серпня 2020 по жовтень 2023 року.

Зломи Lazarus Group у 2020-2023 рр. Джерело: TRM Labs.

2020 рік: зломи CoinBerry, Unibright і CoinMetro

У серпні зловмисники вивели $370 000 із гарячих біткоїн- і Ethereum-гаманців канадської криптобіржі CoinBerry. У вересні — $400 000 з платформи Unbright, у жовтні — $750 000 у CoinMetro.

Кошти від цих трьох крадіжок Lazarus Group переміщала через проміжні гаманці, перш ніж консолідувала на одній адресі на початку січня 2021 року.

Потім кошти частинами надходили на рахунок хакерів у Tornado Cash, а потім виводилися на Ethereum-адресу, після чого об’єдналися з активами, отриманими від інших крадіжок угруповання.

Графік криміналістичної експертизи. Джерело: TRM Labs.

Того ж року кілька переказів надійшло позабіржовому трейдеру з КНР Ву Хуейхуею, пізніше внесеному до списку санкцій OFAC.

З липня 2022 до листопада 2023 року USDT невеликими партіями виводили на P2P-платформи Paxful і Noones.

Грудень 2020 року: злом засновника Nexus Mutual Г’ю Карпа

14 грудня хакери отримали віддалений доступ до комп’ютера Карпа і викрали з його MetaMask 370 000 NXM ($8,3 млн).

З 16 по 17 грудня 137,1 BTC із цієї суми шістьма транзакціями надійшли на централізований сервіс мікшування ChipMixer. Через кілька годин 136 BTC були виведені назад в Ethereum через Ren Project і консолідовані з коштами від інших крадіжок.

Графік криміналістичної експертизи. Джерело: TRM Labs.

Пройшовши через Tornado Cash, активи опинилися на новому Ren-гаманці.

У березні 2021 року викрадену криптовалюту багаторазово проганяли між мережами біткоїна і Ethereum за допомогою ChipMixer. У квітні невелику частину BTC продали Ву Хуейхуею. Решта суми надійшли на біржу Bixin, платформи Paxful і Noones.

Квітень 2021 року: злом засновника EasyFi Анкітта Гаура

За аналогією з попереднім кейсом у Гаури вкрали $81 млн у різних токенах через шкідливу версію MetaMask.

Далі активи пішли на нові адреси за допомогою кросчейн-переказів, потім вирушили в ChipMixer і повернулися в мережу Ethereum через протокол Ren.

У червні 2022 року кошти з двох адрес надійшли на нові EOA-адреси, звідки консолідувалися з іншими незаконно отриманими криптовалютами. Далі серед інших коштів вони пішли на біржу Binance.

Ще одна партія коштів виводилася на нові Ethereum-гаманці у вигляді renBTC через ChipMixer, згодом обмінюючись на DAI і wBTC.

Фінальні переміщення знову привели дослідників до Paxful і Noones, куди активи у вигляді USDT надходили невеликими партіями до листопада 2023 року.

Графік криміналістичної експертизи. Джерело: TRM Labs.

Липень 2021 рік: злом Bondly

Збиток від інциденту склав $8,5 млн в Ethereum, BSC і Polygon.

Усі активи пройшли міксер Tornado Cash і через мультичейн-мости надійшли на нові Ethereum-адреси.

У червні 2022 року об’єднані з іншими викраденими коштами вони потрапили на Binance. І знову до листопада 2023 року партії USDT йшли на Paxful і Noones.

Серпень і вересень 2021 року: невідомі хаки

Через компрометацію закритого ключа кілька людей втратили $2 млн. Хакери одразу конвертували активи в ETH, вивели на єдину адресу і відправили в Tornado Cash.

Через проміжний гаманець кошти об’єднали з іншими нелегальними доходами та розподілили по біржах.

Графік криміналістичної експертизи. Джерело: TRM Labs.

Жовтень 2021 року: злам MGNR і PolyPlay

MGNR втратила $24 млн. Конвертовані в Ethereum активи двома частинами пройшли через Tornado Cash і опинилися на гаманцях, які раніше використовувалися Lazarus Group. З літа 2022 року USDT йшли на Paxful і Noones.

Збиток PolyPlay склав $1,6 млн. Відмивання відбувалося за аналогічною схемою.

Листопад 2021: злом bZx

Фішингова атака на протокол принесла хакерам $55 млн. Уся криптовалюта після Tornado Cash була додатково заміксована з раніше відмитими активами від перерахованих вище зломів і надійшла на Paxful.

Серпень 2023 року: хакі Steadefi і CoinShift

Втрати користувачів склали $1,2 млн. У випадку зі Steadefi хакери прикинулися співробітником інвестиційного фонду Spirit Blockchain Group.

CoinShift публічно не заявляла про інцидент, але кошти з прив’язаних до засновника платформи мультисиг-гаманців було одномоментно виведено 16 серпня.

Викрадений Ethereum від обох зломів частинами пішов на Tornado Cash з різницею в кілька хвилин.

Депозити Steadefi і CoinShift на Tornado Cash по 100 ETH. Джерело: ZachXBT.

Розподілені за трьома адресами активи надалі потрапили на єдиний гаманець. Після конвертації в USDT вони надійшли на рахунки хакерів у Paxful і Noones.

Результати розслідування

Загалом акаунти на P2P-платфомах Paxful і Noones, що належать Lazarus Group, отримали $44 млн у період із липня 2022 по листопад 2023 року. Надалі хакери перейшли на нові депозитні адреси.

Графік криміналістичної експертизи. Джерело: TRM Labs.

Усю цю суму було конвертовано у фіат за допомогою банківських переказів або отримання готівки. Традиційно з цією метою Lazarus Group вдається до послуг китайських позабіржових трейдерів.

У листопаді 2023 року Tether внесла $374 000 із викрадених хакерами коштів до чорного списку. Неназвана сума також заморожена на централізованих біржах у четвертому кварталі 2023 року.

Крім того, троє з чотирьох емітентів стейблкоїнів заблокували додаткові $3,4 млн, на адресах, що належать кіберзлочинцям.

Раніше ForkLog повідомляв, що Lazarus Group створила фейкового інвестора для атаки на DeFi-сегмент.

Читайте ForkLog UA в соціальних мережах

Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER

Матеріали за темою

Ми використовуємо файли cookie для покращення якості роботи.

Користуючись сайтом, ви погоджуєтесь з Політикою приватності.

OK
Exit mobile version