近日,美国财政部指控有朝鲜政府背景的黑客组织Lazarus Group3月从Axie Infinity 侧链 Ronin Network疯狂盗窃了5.4亿美元。
上周四(4月14日),美国财政部发现被盗资金的以太坊钱包地址和攻击者之间的联系,随即将该地址添加到外国资产控制办公室 (OFAC) 特别指定国民 ( SDN ) 名单中,以此进行制裁。
情报和执法机构在一份声明中表示,“联邦调查局将与财政部、美国政府其他的合作伙伴进行协调,继续揭露和打击朝鲜的非法攻击活动,包括通过网络犯罪、加密货币盗窃等为该国创造收入。”
公开资料显示,Ronin Network加密货币盗窃案是迄今为止第二大网络盗窃案。攻击者在3月23日,从 Ronin 跨链桥中窃取了173600以太币(ETH) 和2550万枚 USDC。事件曝光一周后,Ronin Network 在其披露报告中解释说:“攻击者使用了被黑的私钥伪造取款。”
美国财政部的制裁措施包括禁止美国个人、实体和相关地址进行交易,以确保国家资助的集团无法兑现这些资金。但结果并非如此,Elliptic的一项分析发现,截至4月14日,该攻击者已成功清洗了18%的盗窃的数字货币(约9700万美元)。
“首先,被盗的USDC通过去中心化交易所 (DEX) 交换为ETH,以防止其被没收,”Elliptic指出,“通过在DEX上转换代币,黑客躲开了中心化交易所进行的反洗钱 (AML) 和‘了解你的客户’ (KYC) 检查。”
近8030万美元的洗钱资金涉及使用了Tornado Cash,这是一种以太坊区块链上的混合服务,旨在掩盖资金的踪迹,另外价值970万美元的ETH可能以同样的方式进行洗钱。
据悉,Lazarus Group黑客组织背后有着朝鲜战略利益的支撑,自 2017 年以来就有进行加密货币盗窃的记录,以绕过制裁并为该国的核弹、弹道导弹计划提供资金。
据Chainalysis称,该组织在2021年从加密平台掠夺了价值约4亿美元的数字资产,比2020 年增长了40%。同时,被盗资金中只有20%是比特币,以太币则占被盗资金的一半以上,约58%。
尽管美国政府对Lazarus Group黑客组织实施了制裁,但该组织最近依旧开展了攻击活动,利用木马化的去中心化金融 (DeFi) 钱包应用程序的Windows系统后门,并从毫无戒心的用户那里窃取资金。
而这还仅仅是其中的一部分。在博通赛门铁克近日披露的另一次网络攻击中,该攻击者还针对在韩国运营的化学组织进行攻击,这也被认为是“梦想工作行动”的恶意软件活动的延续,谷歌威胁分析小组2022年3月发布的调查结果也证实了这一点。
2022年1月,赛门铁克检测到入侵开始于一个可疑的HTM文件,该文件作为网络钓鱼电子邮件中的链接或从Internet下载,打开后会触发感染序列,最终成功入侵远程服务器,以促进进一步的入侵。赛门铁克评估后表示,攻击的目标是“获取知识产权,以进一步推动朝鲜在这一领域的追求”。
为此,美国国务院宣布悬赏500万美元,对Lazarus Group黑客组织进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁。
值得注意的是,攻击者正在针对加密货币发起攻击。仅2022年第一季度,攻击者就盗窃了价值13亿美元的加密货币,2021年全年被盗窃的加密货币总价值32亿美元,这表明针对加密平台的攻击行为正在“急剧增加”。
Chainalysis发布的一份报告显示,在2022年前三个月被盗的所有加密货币中,近97%来自 DeFi协议,高于2021年的72%和2020年的30%。对于DeFi协议,最大的盗窃通常是由于代码错误,黑客攻击者正是利用了这一漏洞,窃取了大量的加密货币。