100 天竊取 3 億美元,朝鮮黑客靠加密創收
來源/elliptic
編譯/Nick
朝鮮黑客組織 Lazarus 最近似乎加大了行動力度,自 6 月 3 日以來已確認進行了 4 次針對加密行業的攻擊。近期,他們被懷疑已經進行了第 5 次攻擊,慢霧首席信息安全官 23pds 發推稱,加密交易所 CoinEx 遭遇的 5500 萬美元黑客攻擊系朝鮮國家資助的黑客所為。
值得注意的是,此前據美聯社援引韓國主要間諜機構國家情報局(NIS)的報道,自2017年以來,由朝鮮贊助的黑客從世界各地竊取了約 12 億美元的加密貨幣。NIS認為,在竊取加密貨幣方面,朝鮮是世界上最有動機的國家之一,2017年聯合國為應對其核試驗和導彈試驗而加強經濟制裁後,該國將重點轉向網絡犯罪。
此外,在過去 104 天裏,朝鮮黑客組織Lazarus 已被確認從 Atomic Wallet(1 億美元)、CoinsPaid(3730 萬美元)、Alphapo(6000 萬美元)和 Stake.com(4100 萬美元)竊取了近 2.4 億美元的加密資產。
如上圖所示,經 Elliptic 分析指出,從 CoinEx 竊取的部分資金被發送到 Lazarus 組織用來存放從 Stake.com 竊取的資金的地址,盡管是在不同的區塊鏈上。此後,資金通過 Lazarus 之前使用的跨鏈橋跨鏈至以太坊,然後發送回由 CoinEx 黑客控制的地址。
Elliptic 曾從 Lazarus 事件中觀察到這種來自不同黑客的資金混合情況,最近一次是從 Stake.com 竊取的加密貨幣與從 Atomic 錢包竊取的資金混合。這些來自不同黑客的資金被合並的情況在下圖中以橙色表示。
01
Lazarus 在104天內進行了5次攻擊
2022 年,多起備受矚目的黑客攻擊被認為是 Lazarus 所為,其中包括Harmony 的 Horizon 橋和 Axie Infinity 的 Ronin 橋被攻擊,這 2 起攻擊事件都發生在去年上半年。從那時起到今年 6 月,沒有任何重大加密貨幣盜竊案被公开歸咎於 Lazarus。因此,過去 104 天內的各種黑客攻擊表明了這個朝鮮黑客組織的活動有所加強。
2023 年 6 月 3 日,非托管去中心化加密貨幣錢包 Atomic Wallet 的用戶損失超過 1 億美元。Elliptic 在確定多項因素表明朝鮮黑客組織對此負責後,於 2023 年 6 月 6 日正式將此次黑客攻擊歸咎於 Lazarus ,後來得到了聯邦調查局(FBI)的證實。
2023 年 7 月 22 日,Lazarus 通過社會工程攻擊獲得了屬於加密支付平臺 CoinsPaid 的熱錢包的訪問權限。此訪問權限允許攻擊者創建授權請求,從平臺的熱錢包中提取約 3730 萬美元的加密資產。7 月 26 日,CoinsPaid 發布報告稱 Lazarus 對此次攻擊負責,也得到了聯邦調查局(FBI)的證實。
同一天,即 7 月 22 日,Lazarus 又進行了一次高調的攻擊,這次是針對中心化加密支付提供商 Alphapo,竊取了 6000 萬美元的加密資產。攻擊者可能通過之前泄露的私鑰獲得了訪問權限。FBI 後來再度證實了這次攻擊是 Lazarus 所為。
2023 年 9 月 4 日,在线加密貨幣博彩平臺 Stake.com 遭受攻擊,總價值約 4100 萬美元的虛擬貨幣被盜,原因可能是私鑰被盜。FBI 在 9 月 6 日對外公告,確認 Lazarus 組織是此次攻擊的幕後黑手。
最終,2023 年 9 月 12 日,中心化加密貨幣交易所 CoinEx 遭受黑客攻擊,5400 萬美元被盜。如上所述,多項證據表明 Lazarus 是進行本次攻擊的黑客。
02
Lazarus 改變了战術?
對 Lazarus 最新活動的分析表明,自去年以來,他們已將重點從去中心化服務轉向中心化服務。前面討論的最近 5 次黑客攻擊中有 4 次是針對中心化加密資產服務提供商的。在 2020 年之前,也是去中心化金融(DeFi)生態系統迅速崛起之前,中心化交易所曾是 Lazarus 選擇的主要目標。
對於 Lazarus 的注意力再次轉向中心化服務的原因,有多種可能的解釋。
DeFi協議攻擊難度增大
Elliptic之前對 2022 年 DeFi 黑客攻擊的研究發現,在2022 年間平均每 4 天就會發生一次攻擊,每次攻擊平均竊取 3260 萬美元。跨鏈橋在 2022 年成為最常被黑客攻擊的 DeFi 協議類型之一。這些趨勢可能促進了智能合約審計和开發標准的改進,從而縮小了黑客識別和利用漏洞的範圍。
中心化機構社會關系復雜程度高
之前很多次黑客攻擊中,Lazarus Group 選擇的攻擊方法是社會工程。例如,Ronin Bridge 價值 5.4 億美元的黑客攻擊就是該公司一名前員工被LinkedIn上的一份虛假工作欺騙造成的。然而,去中心化的服務往往沒有很多員工,而且項目在一定程度上是去中心化的。因此,獲得對开發人員的惡意訪問可能並不一定等於獲得對智能合約的管理訪問權限。
與此同時,中心化交易所可能會僱用相對較多的員工,從而擴大可能的目標範圍。他們還可能使用中心化的內部信息技術系統進行操作,從而使 Lazarus 惡意軟件有更大的機會滲透到業務中。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
解析 DePIN 競爭格局:頭部項目佔領八成市場但收入甚微,資本入局潮來襲
撰文:Nancy,PANews 作為加密走向主流的重要推手之一,DePIN 生態展現出強勁的發展勢...
Matrixport投研:美國進入貨幣寬松政策通道,市場波動性或將進一步增強
9 月 19 日凌晨 2: 00 ,美聯儲宣布降息 50 基點,聯邦基金利率的目標區間從 5.25...