Firma Elliptic, zajmująca się monitorowaniem łańcucha bloków, opublikowała w piątek raport szczegółowo opisujący exploity osławionej północnokoreańskiej grupy hakerskiej Lazarus, która w ostatnich miesiącach „zwiększyła” swoją aktywność.
Organizacja ta została powiązana z pięcioma poważnymi włamaniami do kryptowalut w ciągu ostatnich trzech miesięcy. Najnowszym, według danych blockchain, była globalna giełda kryptowalut CoinEx, która została zhakowana na początku tego tygodnia na kwotę szacowaną obecnie na 54 miliony dolarów. Podsumowując, Elliptic szacuje, że północnokoreański Lazarus jest odpowiedzialny za kradzież prawie 240 milionów dolarów w kryptowalutach tylko w ciągu ostatnich 104 dni.
„Analiza Elliptic potwierdza, że część środków skradzionych z CoinEx została wysłana na adres, który był używany przez grupę Lazarus do prania środków skradzionych ze wspieranego przez Drake’a kryptowalutowego casio Stake.com, choć na innym blockchainie” – napisał Elliptic. FBI podało w zeszłym tygodniu, że Lazarus był odpowiedzialny za kradzież 41 milionów dolarów w kryptowalucie ze Stake.
Dzisiejsze ustalenia Elliptic potwierdzają ustalenia on-chain sleuth ZachXBT, który w środę powiedział na Twitterze, że haker CoinEx „przypadkowo połączył swój adres” z hackiem Stake.
Wygląda na to, że Korea Północna jest również odpowiedzialna za wczorajszy hack o wartości 54 milionów dolarów @coinexcom po tym, jak przypadkowo połączyli swój adres z hackiem Stake o wartości 41 milionów dolarów na OP & Polygon.
0x75497999432b8701330fb68058bd21918c02ac59 pic.twitter.com/9qZPdc3yhT
– ZachXBT (@zachxbt) September 13, 2023
Następnie haker przeniósł skradzione środki do Ethereum za pomocą mostu używanego wcześniej przez Lazarusa, a następnie przesłał je na adres portfela, o którym wiadomo, że jest kontrolowany przez hakera. Znaczna część środków pochodziła z blockchainów Tron i Polygon.
Według Elliptic, hakerzy Lazarus mieszali również fundusze z adresami, które były widoczne podczas włamania do Stake i używali adresu, który był zaangażowany w włamanie do portfela Atomic o wartości 100 milionów dolarów w czerwcu.
„W świetle tej aktywności blockchain i przy braku informacji sugerujących, że włamanie do CoinEx zostało przeprowadzone przez jakąkolwiek inną grupę zagrożeń, Elliptic zgadza się, że Lazarus Group należy podejrzewać o kradzież środków z CoinEx” – stwierdzili naukowcy z firmy analitycznej.
Inne włamania, w które Lazarus został ostatnio zamieszany, obejmują platformę płatności kryptograficznych CoinsPaid pod koniec czerwca oraz dostawcę płatności kryptograficznych Alphapo w lipcu. Elliptic zauważył, że grupa wydaje się ponownie atakować scentralizowane platformy w przeciwieństwie do zdecentralizowanych, prawdopodobnie ze względu na to, że ataki socjotechniczne są bardziej wykonalne przeciwko takim celom.
CoinEx opublikował w piątek list otwarty do hakerów z prośbą o skontaktowanie się z firmą za pośrednictwem poczty elektronicznej lub łańcucha bloków w celu wynegocjowania nagrody za błąd i zwrotu środków.
