近期,朝鲜的精英黑客组织“Lazarus”似乎已经加大了其活动力度,自6月3日以来已经确认对加密实体进行了四次攻击。现在,他们被怀疑已经进行了第五次攻击,这次目标是CoinEx,攻击发生在2023年9月12日。作为回应,CoinEx发布了几条推文,表明可疑的钱包地址仍在识别中,因此被盗资金的总价值尚不清楚,但目前估计约为5400万美元。
在过去的104天里,Lazarus已经窃取了近2.4亿美元的加密资产:AtomicWallet(1亿美元)、CoinsPaid(3,730万美元)、Alphapo(6,000万美元)和Stake.com(4,100万美元)。
正如上图所示,Elliptic的分析确认,从CoinEx被盗的部分资金被发送到一个地址,该地址被Lazarus组织用来洗钱,尽管使用的是不同的区块链。在此之后,这些资金被桥接到以前由Lazarus使用的以太坊桥,然后发送回CoinEx黑客已知的地址。Elliptic曾经观察到Lazarus在不同黑客事件中合并来自不同黑客事件的资金,最近一次是Stake.com和AtomicWallet事件中合并的资金。这些资金合并的情况在下图中以橙色表示。
鉴于这种区块链活动,以及没有信息表明CoinEx的黑客攻击是由其他威胁组织进行的,Elliptic认为应该怀疑Lazarus组织窃取了CoinEx的资金。
Lazarus104天内五次攻击
2022年,多起知名黑客攻击被认为来自Lazarus,包括Harmony的Horizon桥和AxieInfinity的Ronin桥,这些攻击都发生在去年上半年。从那时到今年6月之间,没有任何一起重大的加密货币盗窃事件被公开归因于Lazarus。因此,过去104天内的各种黑客攻击代表了这个朝鲜威胁组织活动升级的一步。
●2023年6月3日,非托管的去中心化加密货币钱包AtomicWallet的用户损失了超过1亿美元。Elliptic在2023年6月6日确认了这次黑客攻击,当时识别到多个迹象表明是Lazarus组织所为。这一归因后来得到了FBI的确认。
●2023年7月22日,Lazarus通过成功的社交工程攻击获得了加密货币支付平台CoinsPaid的热钱包访问权限。这一访问权限使攻击者能够创建授权请求,从该平台的热钱包中提取约3,730万美元的加密资产。2023年7月26日,CoinsPaid发布了一份报告,声称这次攻击是由Lazarus所为。这一归因后来得到了FBI的确认。
●同一天,即2023年7月22日,Lazarus进行了另一次高调攻击,这次攻击针对的是中心化的加密货币支付提供商Alphapo,窃取了6,000万美元的加密资产。攻击者可能是通过之前被盗的私钥获得了访问权限。与上述一样,FBI后来将此次攻击归因于Lazarus。
●2023年9月4日,在线加密货币菠菜平台Stake.com遭受了一次攻击,大约窃取了价值约4,100万美元的虚拟货币,可能是由于盗窃私钥。FBI在9月6日发布了新闻稿,确认Lazarus组织是这次攻击的幕后黑手。
●最近,在2023年9月12日,中心化加密交易所CoinEx遭受了黑客攻击,窃取了价值5400万美元的资金。如上所述,许多因素表明Lazarus是这次攻击的幕后黑手。
Lazaru改变策略?针对中心化加密机构
对Lazarus最新活动的分析表明,自去年以来,他们已经将注意力从去中心化服务转向了中心化服务。前面提到的五起最近的黑客攻击中,有四起是针对中心化虚拟资产服务提供商的。
有多种可能的解释,可以解释为什么Lazarus的注意力可能再次转向中心化服务。
●安全性的增加:Elliptic之前的研究发现,2022年DeFi黑客事件中,每隔四天就会发生一次攻击,每次攻击平均窃取3260万美元。跨链桥是2022年初较新的一种服务形式,成为最常受黑客攻击的DeFi协议之一。这些趋势可能已促使智能合约审计和开发标准的改进,从而减少了黑客发现和利用漏洞的范围。
●社交工程攻击容易性:对于他们的许多攻击,Lazarus的攻击方法选择了社交工程。例如,对RoninBridge的54亿美元黑客攻击被归因于一份虚假的领英职位邀请。然而,去中心化服务通常拥有较小的工作人员,并且正如其名称所示,去中心化程度各不相同。因此,恶意访问开发者不一定等于获得对智能合约的管理访问权限。而中心化交易所可能会运营更大规模的工作人员,从而扩大了潜在目标的范围。它们还可能使用中心化的内部信息技术系统,使Lazarus恶意软件更有机会渗透其业务的预期功能。
查看更多