100天3億美元,北韓駭客在加密圈“瘋狂搞錢”

來源/elliptic

編譯/Nick

北韓駭客組織Lazarus 最近似乎加強了行動力度,自6 月3 日以來已確認進行了4 次針對加密產業的攻擊。近期,他們被懷疑已經進行了第5 次攻擊,慢霧首席資訊安全官23pds 發推稱,加密交易所CoinEx 遭遇的5500 萬美元黑客攻擊系朝鮮國家資助的黑客所為。

值得注意的是,先前據美聯社援引韓國主要間諜機構國家情報局(NIS)的報道,自2017年以來,由北韓贊助的駭客從世界各地竊取了約12 億美元的加密貨幣。 NIS認為,在竊取加密貨幣方面,北韓是世界上最有動機的國家之一,2017年聯合國為應對其核試驗和飛彈試射而加強經濟制裁後,該國將重點轉向網路犯罪。

此外,在過去104 天裡,北韓駭客組織Lazarus 已被確認從Atomic Wallet(1 億美元)、CoinsPaid(3,730 萬美元)、Alphapo(6,000 萬美元)和Stake.com(4,100 萬美元)竊取了近2.4億美元的加密資產。

100天3億美元,北韓駭客在加密圈“瘋狂搞錢”

如上圖所示,經Elliptic 分析指出,從CoinEx 竊取的部分資金被發送到Lazarus 組織用來存放從Stake.com 竊取的資金的地址,儘管是在不同的區塊鏈上。此後,資金透過Lazarus 先前使用的跨鏈橋跨鏈至以太坊,然後發送回由CoinEx 駭客控制的地址。

Elliptic 曾從Lazarus 事件中觀察到這種來自不同駭客的資金混合情況,最近一次是從Stake.com 竊取的加密貨幣與從Atomic 錢包竊取的資金混合。這些來自不同駭客的資金合併的情況在下圖中以橘色表示。

100天3億美元,北韓駭客在加密圈“瘋狂搞錢”

01、Lazarus 在104天內進行了5次攻擊

2022 年,多起備受矚目的駭客攻擊被認為是Lazarus 所為,其中包括Harmony 的Horizo​​n 橋和Axie Infinity 的Ronin 橋被攻擊,這2 起攻擊事件都發生在去年上半年。從那時起到今年6 月,沒有任何重大加密貨幣竊盜案被公開歸咎於Lazarus。因此,過去104 天內的各種駭客攻擊顯示了這個北韓駭客組織的活動有所加強。

2023 年6 月3 日,非託管去中心化加密貨幣錢包Atomic Wallet 的用戶損失超過1 億美元。 Elliptic 在確定多項因素表明北韓駭客組織對此負責後,於2023 年6 月6 日正式將駭客攻擊歸咎於Lazarus ,後來得到了聯邦調查局(FBI)的證實。

2023 年7 月22 日,Lazarus 透過社會工程攻擊獲得了屬於加密支付平台CoinsPaid 的熱錢包的存取權。此存取權限允許攻擊者創建授權請求,從平台的熱錢包中提取約3730 萬美元的加密資產。 7 月26 日,CoinsPaid 發布報告指出Lazarus 對攻擊負責,也得到了聯邦調查局(FBI)的證實。

同一天,即7 月22 日,Lazarus 又進行了一次高調的攻擊,這次是針對中心化加密支付提供商Alphapo,竊取了6000 萬美元的加密資產。攻擊者可能透過先前洩漏的私鑰獲得了存取權限。 FBI 後來再度證實了這次攻擊是Lazarus 所為。

2023 年9 月4 日,線上加密貨幣博彩平台Stake.com 遭受攻擊,總價值約4,100 萬美元的虛擬貨幣被盜,原因可能是私鑰被盜。 FBI 在9 月6 日對外公告,確認Lazarus 組織是這次攻擊的幕後黑手。

最終,2023 年9 月12 日,中心化加密貨幣交易所CoinEx 遭受駭客攻擊,5,400 萬美元被盜。如上所述,多項證據表明Lazarus 是進行本次攻擊的駭客。

02、Lazarus 改變了戰術?

對Lazarus 最新活動的分析表明,自去年以來,他們已將重點從去中心化服務轉向中心化服務。前面討論的最近5 次駭客攻擊中有4 次是針對中心化加密資產服務提供者的。在2020 年之前,也是去中心化金融(DeFi)生態系統迅速崛起之前,中心化交易所曾是Lazarus 選擇的主要目標。

對於Lazarus 的注意力再次轉向中心化服務的原因,有多種可能的解釋。

DeFi協定攻擊難度增加

Elliptic先前對2022 年DeFi 駭客攻擊的研究發現,在2022 年間平均每4 天就會發生一次攻擊,每次攻擊平均竊取3,260 萬美元。跨鏈橋在2022 年成為最常被駭客攻擊的DeFi 協定類型之一。這些趨勢可能促進了智慧合約審計和開發標準的改進,從而縮小了駭客識別和利用漏洞的範圍。

中心化機構社會關係複雜程度高

在之前很多次駭客攻擊中,Lazarus Group 選擇的攻擊方法是社會工程。例如,Ronin Bridge 價值5.4 億美元的駭客攻擊就是該公司一名前員工被LinkedIn上的一份虛假工作欺騙所造成的。然而,去中心化的服務往往沒有很多員工,而且專案在某種程度上是去中心化的。因此,取得對開發人員的惡意存取可能不一定等於取得對智慧合約的管理存取權限。

同時,中心化交易所可能會僱用相對較多的員工,從而擴大可能的目標範圍。他們還可能使用中心化的內部資訊技術系統進行操作,使Lazarus 惡意軟體有更大的機會滲透到業務中。

Total
0
Shares
Related Posts