100天「狂攬」3億美元，朝鮮黑客組織Lazarus瞄准了中心化機構

原文作者： Elliptic

原文編譯：Babywhale，Foresight News

朝鮮黑客組織 Lazarus 最近似乎加大了行動力度，自 6 月 3 日以來已確認進行了四次針對加密貨幣公司的攻擊，而近期針對加密貨幣交易所 CoinEx 的攻擊很可能也是 Lazarus 所為。對此，CoinEx 發布了多條 推文 ，表示可疑錢包地址仍在識別中，因此被盜資金的總價值尚不明確，但可能已達到 5400 萬美元。

在過去 100 多天裏，Lazarus 已被確認從 Atomic Wallet（1 億美元）、 CoinsPaid （3730 萬美元）、Alphapo（6000 萬美元）和 Stake.com（4100 萬美元）竊取了價值近 2.4 億美元的加密資產。

如上圖所示，Elliptic 分析，從 CoinEx 竊取的部分資金被發送到 Lazarus 組織用來存放從 Stake.com 竊取的資金的地址，盡管是在不同的區塊鏈上。此後，資金通過 Lazarus 之前使用的跨鏈橋跨鏈至以太坊，然後發送回已知由 CoinEx 黑客控制的地址。Elliptic 曾在 Lazarus 事件中觀察到這種來自不同黑客的資金混合情況，最近一次是從 Stake.com 竊取的資金與從 Atomic 錢包竊取的資金存在混合。這些來自不同黑客的資金被合並的情況在下圖中以橙色表示。

100 多天內實施了五次攻擊

2022 年，幾起備受矚目的黑客攻擊被認為是 Lazarus 所為，其中包括 Harmony 的 Horizon 橋被攻擊 和 Axie Infinity 的 Ronin 橋被攻擊 ，這兩起事件都發生在去年上半年。從那時起到今年 6 月，沒有任何重大加密貨幣盜竊案被公开歸咎於 Lazarus。因此，過去 100 多天的各種黑客攻擊表明朝鮮黑客組織又开始活躍了起來。

2023 年 6 月 3 日，非托管去中心化加密貨幣錢包 Atomic Wallet 的用戶損失超過 1 億美元。Elliptic 在確定多個因素表明朝鮮黑客組織對此負責後，於 2023 年 6 月 6 日正式認定此次黑客攻擊 歸咎於 Lazarus ，後來得到了聯邦調查局（FBI）的 證實 。

2023 年 7 月 22 日，Lazarus 通過社會工程攻擊獲得了屬於加密支付平臺 CoinsPaid 的熱錢包的訪問權限。此訪問權限允許攻擊者創建授權請求，從平臺的熱錢包中提取約 3730 萬美元的加密資產。7 月 26 日，CoinsPaid 發布 報告 稱 Lazarus 對此次攻擊負責，並得到了 FBI 的 證實 。

同一天，即 7 月 22 日，Lazarus 又進行了一次攻擊，這次是針對中心化加密支付提供商 Alphapo，竊取了 6000 萬美元的加密資產。攻擊者可能通過之前泄露的私鑰獲得了訪問權限。FBI 此後再度 證實 了 Lazarus 是此次事件的攻擊者。

2023 年 9 月 4 日，线上加密貨幣博彩平臺 Stake.com 遭受攻擊，價值約 4100 萬美元的加密貨幣被盜，原因可能是私鑰被盜。FBI 於 9 月 6 日發布 公告 ，確認 Lazarus 組織是此次攻擊的幕後黑手。

最後， 2023 年 9 月 12 日，中心化加密貨幣交易所 CoinEx 成為黑客攻擊的受害者， 5400 萬美元被盜。如上文所述，多項證據表明 Lazarus 對此次攻擊負責。

Lazarus 改變了「战術」？

對 Lazarus 最新活動的分析表明，自去年以來，他們已將重點從去中心化服務轉向中心化服務。前面討論的最近五次黑客攻擊中有四次是針對中心化加密資產服務提供商的。在 2020 年之前，也就是 DeFi 生態系統迅速崛起之前，中心化交易所曾是 Lazarus 的主要目標。

對於 Lazarus 的注意力再次轉向中心化服務的原因，有多種可能的解釋。

更加關注安全性：Elliptic 之前對 2022 年 DeFi 黑客攻擊的 研究 發現， 2022 年間平均每四天就會發生一次攻擊，每次攻擊平均竊取 3260 萬美元。跨鏈橋在 2022 年成為最常被黑客攻擊的 DeFi 協議類型之一。這些趨勢可能促進了智能合約審計和开發標准的改進，從而縮小了黑客識別和利用漏洞的範圍。

對社會工程的敏感性：在多次黑客攻擊中，Lazarus Group 選擇的攻擊方法是社會工程。例如，Ronin Bridge 價值 5.4 億美元的黑客攻擊就是 通過 LinkedIn 的虛假工作機會找出的「缺口」 。然而，去中心化的服務往往沒有很多的員工，而且——顧名思義——在不同程度上是去中心化的。因此，獲得對开發人員的惡意訪問可能並不一定等於獲得對智能合約的管理訪問權限。

與此同時，中心化交易所則可能會僱用相對更多的勞動力，從而擴大可能的目標範圍。他們還可能使用中心化的內部信息技術系統進行操作，從而使 Lazarus 惡意軟件有更大的機會滲透到業務中去。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。