Lazarus снова в деле: хакеры из КНДР украли $3,2 млн в криптовалюте

Северокорейская хакерская группировка Lazarus продолжает терроризировать криптоиндустрию. На этот раз они вывели из игры еще $3,2 млн — видимо, на нужды «народной демократии».

Как они это сделали? Старый добрый фишинг, социальная инженерия и дыры в безопасности. Никакой магии — только халтура проектов и жадность инвесторов.

Пока регуляторы спорят о декцентрализации, Lazarus просто печатает себе деньги. И да — это ваш кивок на то, что «невозможно заблокировать» в DeFi.

Хакеры Lazarus крадут миллионы

Вчера ончейн-расследователь ZachXBT сообщил, что 16 мая хакерская группировка из Северной Кореи Lazarus Group обманула пользователя на $3,2 млн в крипте. Украденное оперативно перевели из блокчейна Solana в сеть Ethereum. Затем хакер внес 800 ETH в Tornado Cash — протокол, помогающий анонимизировать криптовалютные транзакции.

На момент сообщения около $1,25 млн остаются в Ethereum-кошельке, содержащем DAI и ETH.

Другие атаки северных корейцев

27 июня ZachXBT связал Lazarus с крупной атакой на несколько NFT-проектов, связанных с Мэттом Фьюри — создателем Pepe. Атака также затронула такие проекты, как ChainSaw и Favrr. В ходе преступления злоумышленники захватили несколько NFT-контрактов. Они выпускали и сбрасывали NFT, похитив около $1 млн из этих проектов.

1/ Multiple projects tied to Pepe creator Matt Furie & ChainSaw as well as another project Favrr were exploited in the past week which resulted in ~$1M stolen

My analysis links both attacks to the same cluster of DPRK IT workers who were likely accidentally hired as developers. pic.twitter.com/85JRm5kLQO

Расследование ZachXBT показало, что хакеры перемещали украденные средства через три кошелька. В итоге они конвертировали часть ETH в стейблкоины и перевели их на централизованную биржу (CEX) MEXC. Модель переводов стейблкоинов, связанная с определенным адресом депозита MEXC, указывает на участие атакующих в нескольких криптопроектах.

Анализ также выявил связи с аккаунтами на GitHub, настроенными на корейский язык и с часовыми поясами, соответствующими северокорейской активности.

«Другие индикаторы из внутренних журналов показывают несоответствия в резюме предполагаемого северокорейского IT-работника. Почему у разработчика, утверждающего, что он живет в США, установлены корейские языковые настройки, используется Astral VPN и указана азиатская часовая зона?» — задался вопросом ZachXBT.

В случае с Favrr следователи подозревают, что технический директор проекта, Алекс Хонг, может быть северокорейским IT-работником. ZachXBT также сообщил, что профиль Хонга в LinkedIn недавно был удален, и его трудовая история не подтверждена.

Ранее мы рассказывали, что аналитическая фирма TRM Labs связала деятельность Lazarus Group с кражей почти $1,6 млрд. Эта сумма составляет около 70% всей украденной криптовалюты в этом году.

Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.