作者:Elliptic Research; 翻譯:金色財經0xjs
近期,朝鮮的精英黑客組織“Lazarus”似乎已經加大了其活動力度,自6月3日以來已經確認對加密實體進行了四次攻擊。現在,他們被懷疑已經進行了第五次攻擊,這次目標是CoinEx,攻擊發生在2023年9月12日。作為回應,CoinEx發布了幾條推文,表明可疑的錢包地址仍在識別中,因此被盜資金的總價值尚不清楚,但目前估計約為5400萬美元。
在過去的104天裡,Lazarus已經竊取了近2.4億美元的加密資產:Atomic Wallet(1億美元)、CoinsPaid(3,730萬美元)、Alphapo(6,000萬美元)和Stake.com(4,100萬美元)。
正如上圖所示,Elliptic的分析確認,從CoinEx被盜的部分資金被發送到一個地址,該地址被Lazarus組織用來洗錢,儘管使用的是不同的區塊鏈。在此之後,這些資金被橋接到以前由Lazarus使用的以太坊橋,然後發送回CoinEx黑客已知的地址。 Elliptic曾經觀察到Lazarus在不同黑客事件中合併來自不同黑客事件的資金,最近一次是Stake.com和Atomic Wallet事件中合併的資金。這些資金合併的情況在下圖中以橙色表示。
鑑於這種區塊鏈活動,以及沒有信息表明CoinEx的黑客攻擊是由其他威脅組織進行的,Elliptic認為應該懷疑Lazarus組織竊取了CoinEx的資金。
Lazarus 104天內五次攻擊
2022年,多起知名黑客攻擊被認為來自Lazarus,包括Harmony的Horizon橋和Axie Infinity的Ronin橋,這些攻擊都發生在去年上半年。從那時到今年6月之間,沒有任何一起重大的加密貨幣盜竊事件被公開歸因於Lazarus。因此,過去104天內的各種黑客攻擊代表了這個朝鮮威脅組織活動升級的一步。
● 2023年6月3日,非託管的去中心化加密貨幣錢包Atomic Wallet的用戶損失了超過1億美元。 Elliptic在2023年6月6日確認了這次黑客攻擊,當時識別到多個跡象表明是Lazarus組織所為。這一歸因後來得到了FBI的確認。
● 2023年7月22日,Lazarus通過成功的社交工程攻擊獲得了加密貨幣支付平台CoinsPaid的熱錢包訪問權限。這一訪問權限使攻擊者能夠創建授權請求,從該平台的熱錢包中提取約3,730萬美元的加密資產。 2023年7月26日,CoinsPaid發布了一份報告,聲稱這次攻擊是由Lazarus所為。這一歸因後來得到了FBI的確認。
● 同一天,即2023年7月22日,Lazarus進行了另一次高調攻擊,這次攻擊針對的是中心化的加密貨幣支付提供商Alphapo,竊取了6,000萬美元的加密資產。攻擊者可能是通過之前被盜的私鑰獲得了訪問權限。與上述一樣,FBI後來將此次攻擊歸因於Lazarus。
● 2023年9月4日,在線加密貨幣菠菜平台Stake.com遭受了一次攻擊,大約竊取了價值約4,100萬美元的虛擬貨幣,可能是由於盜竊私鑰。 FBI在9月6日發布了新聞稿,確認Lazarus組織是這次攻擊的幕後黑手。
● 最近,在2023年9月12日,中心化加密交易所CoinEx遭受了黑客攻擊,竊取了價值5400萬美元的資金。如上所述,許多因素表明Lazarus是這次攻擊的幕後黑手。
Lazaru改變策略?針對中心化加密機構
對Lazarus最新活動的分析表明,自去年以來,他們已經將注意力從去中心化服務轉向了中心化服務。前面提到的五起最近的黑客攻擊中,有四起是針對中心化虛擬資產服務提供商的。
有多種可能的解釋,可以解釋為什麼Lazarus的注意力可能再次轉向中心化服務。
● 安全性的增加:Elliptic之前的研究發現,2022年DeFi黑客事件中,每隔四天就會發生一次攻擊,每次攻擊平均竊取3260萬美元。跨鏈橋是2022年初較新的一種服務形式,成為最常受黑客攻擊的DeFi協議之一。這些趨勢可能已促使智能合約審計和開發標準的改進,從而減少了黑客發現和利用漏洞的範圍。
● 社交工程攻擊容易性:對於他們的許多攻擊,Lazarus的攻擊方法選擇了社交工程。例如,對Ronin Bridge的54億美元黑客攻擊被歸因於一份虛假的領英職位邀請。然而,去中心化服務通常擁有較小的工作人員,並且正如其名稱所示,去中心化程度各不相同。因此,惡意訪問開發者不一定等於獲得對智能合約的管理訪問權限。而中心化交易所可能會運營更大規模的工作人員,從而擴大了潛在目標的範圍。它們還可能使用中心化的內部信息技術系統,使Lazarus惡意軟件更有機會滲透其業務的預期功能。