В пятницу компания Elliptic, специализирующаяся на блокчейн-наблюдениях, опубликовала отчет, в котором подробно описаны эксплойты печально известной северокорейской хакерской группы Lazarus, которая в последние месяцы «наращивает» активность.
За последние три месяца эта организация была причастна к пяти крупным взломам криптовалют. Последней, согласно данным blockchain, стала взлом глобальной криптовалютной биржи CoinEx, которая была взломана в начале этой недели и теперь оценивается в 54 млн. долл. В целом, по оценкам Elliptic, северокорейская Lazarus ответственна за кражу почти 240 млн. долл. в криптовалютах только за последние 104 дня.
«Анализ Elliptic подтверждает, что часть средств, украденных с CoinEx, была отправлена на адрес, который использовался группой Lazarus для отмывания средств, украденных у поддерживаемой Дрейком криптовалютной казио Stake.com, хотя и на другом блокчейне», — пишет Elliptic. На прошлой неделе ФБР заявило, что Lazarus ответственна за кражу криптовалюты на сумму 41 млн. долл. у Stake.
Сегодняшние выводы Elliptic подтверждают данные внутрицепочечного ищейки ZachXBT, который в среду сообщил в Twitter, что хакер CoinEx «случайно подключил свой адрес» к взлому Stake.
Похоже, Северная Корея также ответственна за вчерашний взлом на $54 млн @coinexcom после того, как они случайно подключили свой адрес к взлому на $41 млн Stake на сайте OP & Polygon.
0x75497999432b8701330fb68058bd21918c02ac59 pic.twitter.com/9qZPdc3yhT
— ZachXBT (@zachxbt) September 13, 2023
Затем хакер перевел похищенные средства в Ethereum с помощью моста, ранее использовавшегося компанией Lazarus, и перевел их на адрес кошелька, который, как известно, контролировался хакером. Значительная часть средств была получена с блокчейнов Tron и Polygon.
По данным Elliptic, хакеры Lazarus также смешивали средства с адресами, которые были замечены во время взлома Stake, и использовали адрес, который был задействован во взломе кошелька Atomic стоимостью 100 млн. долл. в июне.
«В свете этой блокчейн-активности и при отсутствии информации о том, что взлом CoinEx был осуществлен какой-либо другой угрожающей группой, Elliptic согласна с тем, что Lazarus Group следует подозревать в краже средств с CoinEx», — заявили исследователи аналитической компании.
Среди других взломов, к которым причастна Lazarus, — взлом платформы криптовалютных платежей CoinsPaid в конце июня и взлом провайдера криптовалютных платежей Alphapo в июле. В Elliptic отметили, что группировка, похоже, вновь нацелилась на централизованные платформы, а не на децентрализованные, возможно, из-за того, что атаки с использованием социальной инженерии более эффективны для таких целей.
В пятницу CoinEx опубликовала открытое письмо к хакерам с просьбой связаться с компанией по электронной почте или через блокчейн, чтобы договориться о вознаграждении за ошибку и возврате средств.