Отчет: как Lazarus Group отмыли $200 млн от 25 атак на крипторынок

Ончейн-исследователь ZachXBT отследил движение $200 млн, похищенных хакерами Lazarus Group в результате 25 кибератак в период с августа 2020 по октябрь 2023 года.

2020 год: взломы CoinBerry, Unibright и CoinMetro

В августе злоумышленники вывели $370 000 с горячих биткоин- и Ethereum-кошельков канадской криптобиржи CoinBerry. В сентябре — $400 000 с платформы Unbright, в октябре — $750 000 у CoinMetro.

Средства от этих трех краж Lazarus Group перемещала через промежуточные кошельки, прежде чем консолидировала на одном адресе в начале января 2021 года.

Затем средства по частям поступали на счет хакеров в Tornado Cash, а затем выводились на Ethereum-адрес, после чего объединились с активами, полученными от других краж группировки.

В том же году несколько переводов поступило внебиржевому трейдеру из КНР Ву Хуэйхуэю, позднее внесенному в санкционный список OFAC.

С июля 2022 до ноября 2023 года USDT небольшими партиями выводились на P2P-платформы Paxful и Noones.

Декабрь 2020 года: взлом основателя Nexus Mutual Хью Карпа

14 декабря хакеры получили удаленный доступ к компьютеру Карпа и похитили из его MetaMask 370 000 NXM ($8,3 млн).

С 16 по 17 декабря 137,1 BTC из этой суммы шестью транзакциями поступили на централизованный сервис микширования ChipMixer. Через несколько часов 136 BTC были выведены обратно в Ethereum через Ren Project и консолидированы со средствами от других краж.

Пройдя через Tornado Cash, активы оказались на новом Ren-кошельке.

В марте 2021 года похищенная криптовалюта многократно прогонялась между сетями биткоина и Ethereum посредством ChipMixer. В апреле небольшую часть BTC продали Ву Хуэйхуэю. Остальные суммы поступили на биржу Bixin, платформы Paxful и Noones.

Апрель 2021 года: взлом основателя EasyFi Анкитта Гаура

По аналогии с предыдущим кейсом у Гауры украли $81 млн в различных токенах через вредоносную версию MetaMask.

Далее активы ушли на новые адреса при помощи кроссчейн-переводов, затем отправились в ChipMixer и вернулись в сеть Ethereum через протокол Ren.

В июне 2022 года средства с двух адресов поступили на новые EOA-адреса, откуда консолидировались с прочими незаконно полученными криптовалютами. Далее в числе других средств они ушли на биржу Binance.

Еще одна партия средств выводилась на новые Ethereum-кошельки в виде renBTC через ChipMixer, впоследствии обмениваясь на DAI и wBTC.

Финальные перемещения опять привели исследователей к Paxful и Noones, куда активы в виде USDT поступали небольшими партиями до ноября 2023 года.

Июль 2021 год: взлом Bondly

Ущерб от инцидента составил $8,5 млн в Ethereum, BSC и Polygon.

Все активы прошли миксер Tornado Cash и через мультичейн-мосты поступили на новые Ethereum-адреса.

В июне 2022 года объединенные с другими похищенными средствами они попали на Binance. И вновь до ноября 2023 года партии USDT уходили на Paxful и Noones.

Август и сентябрь 2021 года: неизвестные хаки

Из-за компрометации закрытого ключа несколько человек потеряли $2 млн. Хакеры сразу конвертировали активы в ETH, вывели на единый адрес и отправили в Tornado Cash.

Через промежуточный кошелек средства объединили с другими нелегальными доходами и распределили по биржам.

Октябрь 2021 года: взлом MGNR и PolyPlay

MGNR потеряла $24 млн. Конвертированные в Ethereum активы двумя частями прошли через Tornado Cash и оказались на ранее использовавшихся кошельках Lazarus Group. С лета 2022 года USDT уходили на Paxful и Noones.

Ущерб PolyPlay составил $1,6 млн. Отмывание проходило по аналогичной схеме.

Ноябрь 2021: взлом bZx

Фишинговая атака на протокол принесла хакерам $55 млн. Вся криптовалюта после Tornado Cash была дополнительно замиксована с ранее отмытыми активами от перечисленных выше взломов и поступила на Paxful.

Август 2023 года: хаки Steadefi и CoinShift

Потери пользователей составили $1,2 млн. В случае со Steadefi хакеры притворились сотрудником инвестиционного фонда Spirit Blockchain Group.

CoinShift публично не заявляла об инциденте, но средства с привязанных к основателю платформы мультисиг-кошельков были одномоментно выведены 16 августа.

Похищенный Ethereum от обоих взломов частями ушел на Tornado Cash с разницей в несколько минут.

Распределенные по трем адресам активы в дальнейшем попали на единый кошелек. После конвертации в USDT они поступили на счета хакеров в Paxful и Noones.

Результаты расследования

В общей сложности принадлежащие Lazarus Group аккаунты на P2P-платфомах Paxful и Noones получили $44 млн в период с июля 2022 по ноябрь 2023 года. В дальнейшем хакеры перешли на новые депозитные адреса.

Вся эта сумма была конвертирована в фиат посредством банковских переводов или получения наличных. Традиционно с этой целью Lazarus Group прибегает к услугам китайских внебиржевых трейдеров.

В ноябре 2023 года Tether внесла $374 000 из похищенных хакерами средств в черный список. Неназванная сумма также заморожена на централизованных биржах в четвертом квартале 2023 года.

Кроме того, трое из четырех эмитентов стейблкоинов заблокировали дополнительные $3,4 млн, на принадлежащих киберпрестпникам адресах.

Ранее ForkLog сообщал, что Lazarus Group создала фейкового инвестора для атаки на DeFi-сегмент.