Что произошло? Аналитики ИБ-компании Elliptic заявили о причастности северокорейской хакерской группировки Lazarus ко взлому дубайской криптобиржи Bybit. 21 февраля Bybit, одна из ведущих глобальных централизованных криптобирж (CEX), потеряла 1,46 млрд долларов в результате атаки с использованием вредоносного ПО.
Блог Elliptic
Что еще известно? В Elliptic подчеркивают, что инцидент стал крупнейшей единовременной кражей не только в криптоиндустрии, но в целом за всю историю: ранее рекорд принадлежал Саддаму Хусейну, который украл 1 млрд долларов из ЦБ Ирака накануне войны в 2003 году.
Версия Elliptic о причастности Lazarus основана на анализе поведения хакеров после атаки, включая тактику отмывания украденных активов. Lazarus давно действует в криптопространстве, и опытные исследователи давно выделили ряд критериев, указывающих на связь тех или иных атак с КНДР.
С 2017 года лица, связанные с Северной Кореей, похитили криптоактивы на сумму более 6 млрд долларов, а вырученные средства, по утверждению ряда сторон, включая правительство США, направляются на финансирование программы вооружений.
Опрошенные The Block эксперты заявили о причастности хакеров из КНДР ко взлому Phemex на 70 млн долларов
Биржа анонсировала скорое восстановление функции вывода средств
Читать дальше
Аналитики отмечают, что Lazarus разработала мощную изощренную систему, позволяющую взламывать целевые организации, красть криптоактивы и отмывать их с помощью тысяч блокчейн-транзакций.
Как правило, Lazarus при отмывании в первую очередь конвертирует токены в биткоины или Ethereum. Так, эмитенты ряда токенов в некоторых случаях могут замораживать кошельки с украденными активами, при этом для BTC и ETH не существует центрального руководства, которое могло бы их заморозить.
Именно это произошло в первые минуты после взлома Bybit: сотни миллионов долларов в токенах, таких как stETH и cmETH, были обменены на ETH через децентрализованные криптобиржи (DEX).
На втором этапе украденные средства разделяются, что затрудняет отслеживание их перемещений в прозрачном блокчейне и замедляет расследование. Этот процесс может принимать различные формы, включая отправку средств через большое количество кошельков, перевод средств в другие блокчейны с использованием кроссчейн-протоколов (межсетевых мостов) или бирж, а также использование криптомикшеров, таких как Tornado Cash или Cryptomixer. Все это позволяет хакерам выиграть время для вывода средств.
СМИ сообщили о массовом устройстве разработчиков из КНДР в криптостартапы
Как минимум с 2018 года северокорейцы проникают в компании для получения заработка в условиях санкций, а также организации взломов
Читать дальше
По утверждению Elliptic, в настоящее время Lazarus находится на втором этапе. В течение двух часов после кражи средства были отправлены на 50 кошельков, около 10 000 ETH на каждый. Теперь эти кошельки систематически опустошаются: к 23 февраля 10% украденных активов были переведены на другие адреса.
Как только средства выводятся с этих кошельков, они отмываются с помощью различных сервисов, включая CEX, DEX и межсетевые мосты. По словам аналитиков, основным и добровольным посредником в этом отмывании является анонимная P2P-платформа eXch.
Через eXch уже прошли десятки миллионов долларов, украденных у Bybit, однако команда платформы в ответ на запросы отказалась блокировать эту деятельность.
eXch и другие схожии сервисы используются для конвертации ETH в BTC. Исходя из типичной тактики Lazarus, можно ожидать, что вскоре хакеры приступят к использованию микшеров для запутывания транзакций. Однако это может оказаться сложной задачей из-за огромного объема украденных активов, заключили аналитики.
Больше на Онлайн журнал sololaki
Подпишитесь, чтобы получать последние записи по электронной почте.
