Кража произошла с помощью сложной атаки вредоносного ПО, при этом средства были выкачаны из нескольких типов кошельков, включая мультиподписные, внешние счета (EOA) и биржевые кошельки.
- Инцидент, о котором стало известно на Telegram -канале ZackXBT во вторник, намекнул на то, что группа может сместить фокус своего внимания с состоятельных частных лиц и компаний на индивидуальных внутридневных трейдеров.
После ограбления около 1000 ETH были переведены в Tornado Cash, сервис криптомикширования, который обычно используется для сокрытия происхождения украденных цифровых активов. Украденные активы затем были оперативно ликвидированы на открытом рынке.
Отслежены адреса, Tornado Cash использовался для отмывания денег
- На канале ZachXBT были перечислены три адреса Ethereum, связанных с ограблением. Наряду с небольшими балансами токенов QBX, Blocklords, Astra Protocol и DAI на общую сумму около $1340, на основном адресе было более 40 ETH, что составляет около $107 000 по текущей рыночной стоимости.
Такая модель поведения согласуется с данными недавнего исследования TRM Labs, в котором подробно описывается всемирная сеть российских преступных организаций и китайских внебиржевых брокеров, которых Северная Корея использует для отмывания своих незаконных доходов.
- В отчете утверждается, что Lazarus предоставляет техническую экспертизу, но их партнеры предоставляют каналы для законной интеграции украденных средств на рынки.
Отмывание денег продолжится во втором квартале 2025 года
В апреле аналитическая компания SpotOnChain сообщила, что кошелек, предположительно связанный с Lazarus, выгрузил 40,78 Wrapped Bitcoin (WBTC) за $3,51 млн. Биткоин, первоначально купленный в феврале 2023 года примерно за $999 900, когда WBTC торговался по $24 521, был продан по $83 459 за монету с прибылью в 251% за два года.
- Сегодня Lazarus Group (северокорейские хакеры) продала 40,78 $WBTC (3,51 млн долларов США) с прибылью в 2,51 млн долларов США (+251%) — после покупки 2 года назад.
Они потратили 999,9 тыс. $USDT на приобретение $WBTC по цене около 24 521 $ в феврале 2023 года и продали его за 1857 $ETH по цене около 86 170 $ всего 12 часов назад.
- Вырученные средства были конвертированы в 1847 ETH и позже разделены между тремя кошельками. Самый большой транш в 1865 ETH был отслежен до другого кошелька, который, как сообщается, управлялся группой. Вместо того чтобы хранить конвертированные ETH, Lazarus распределил 2507 ETH по нескольким адресам.
Хакеры, связанные с КНДР, также были причастны к печально известному взлому криптовалютной биржи Bybit на сумму $1,5 млрд. После взлома группа якобы отмыла почти 500 000 ETH, что эквивалентно примерно $1,39 млрд, посредством многочисленных транзакций всего за десять дней.
Стоимость Bybit составляет 49,9 фунтов стерлингов за ETH (13,9 долларов США), а также 10 фунтов стерлингов.
- По меньшей мере $605 млн было направлено через децентрализованный протокол ликвидности THORChain за один день. Тем не менее платформа блокчейн-аналитики Arkham Intelligence оценивает, что кошельки, привязанные к Lazarus, по-прежнему содержат около $1,1 млрд в криптовалютных резервах, включая значительные активы в Bitcoin, Ethereum и Tether.
Киберпреступность финансирует ядерные амбиции
Следователи ООН, следящие за соблюдением санкций, полагают, что доходы от этих кибератак направляются в программы разработки оружия Северной Кореи. По имеющимся данным, в период с 2017 по 2023 год страна использовала криптовалютные потоки доходов для совершенствования своих ракетных технологий, увеличивая тем самым свою способность поражать цели далеко за пределами Корейского полуострова.
В отчете, опубликованном в декабре прошлого года, Chainalysis подтвердила, что хакеры, связанные с режимом, похитили более 1,3 млрд долларов в криптовалюте в 2024 году в ходе 47 инцидентов.
- « Хакеры, связанные с Северной Кореей, прославились своими изощренными и беспощадными махинациями », — говорится в отчете Chainalysis, где отмечается, что эти усилия используются для обхода международных санкций и финансирования незаконных операций государства.