臭名昭著的朝鲜黑客集团 Lazarus Group 目前正在躲避各种监管措施将盗取的价值约 14 亿美元的 499,000 个以太坊洗白,这些以太坊来自加密货币交易所 Bybit 在 SafeWallet 上的冷钱包。
此前黑客针对 SafeWallet 工程师进行攻击成功在前端交互页面埋下恶意脚本,待 Bybit 管理员进行操作时发起攻击,最终盗取了 499,000 个以太坊,被盗时总价值约 14 亿美元。
因为链上交易都可以追溯的,因此执法机构、加密货币行业以及安全研究人员都在分析和拦截这些交易地址,即正常情况下被标记的地址将以太坊转移到加密货币交易所就会被立即冻结。
以往黑客通常会使用混币器服务对盗取的加密货币进行清洗,经过混币器操作后流出的加密货币难以追溯地址,不过现在混币器被打击后 Lazarus Group 主要通过跨链桥进行操作。
有匿名的加密货币分析师指出,Lazarus Group 在 3 月 1 日通过跨链桥再次洗白 62,200 个以太坊,目前只剩下 156,500 个以太坊尚未被转移。
截止至本文发布时这被盗的 499,000 个以太坊中大约有 343,000 个已经被转移,分析师认为剩余的这些以太坊大约会在 3 天内被转移,被转移后想要继续追踪难度非常大。
此次黑客使用的跨链桥是 THORChain,这些跨链桥和去中心化交易所(DeFi)无需进行 KYC 即可操作,而传统交易所需要 KYC 认证,所以黑客通常都使用这类无需 KYC 的服务。
通过跨链桥黑客可以将盗取的以太坊兑换为 USDT 等大量不同类型的加密货币,随后这些兑换出来的加密货币就可以转移到交易所出售了,因为新地址难以被追踪。
THORChain 跨链桥也因为涉嫌帮助朝鲜黑客集团洗钱而受到严厉批评,代号为冥王星的 THORChain 开发者表示,他们尝试通过阻止朝鲜黑客洗钱,但相关投票被推翻,随后部分开发者选择彻底退出这个跨链桥项目。
目前包括美国联邦调查局在内的执法机构正在进行追踪和调查,不过正如前文所述,通过混币器和跨链桥进行操作后链上跟踪变得更加困难,所以很难阻止剩余的以太坊继续被洗白。
