Ончейн-исследователь ZachXBT отследил движение $200 млн, похищенных хакерами Lazarus Group в результате 25 кибератак в период с августа 2020 по октябрь 2023 года.
Взломы Lazarus Group в 2020–2023 гг. Данные: TRM Labs.
2020 год: взломы CoinBerry, Unibright и CoinMetro
В августе злоумышленники вывели $370 000 с горячих биткоин- и Ethereum-кошельков канадской криптобиржи CoinBerry. В сентябре — $400 000 с платформы Unbright, в октябре — $750 000 у CoinMetro.
Средства от этих трех краж Lazarus Group перемещала через промежуточные кошельки, прежде чем консолидировала на одном адресе в начале января 2021 года.
Затем средства по частям поступали на счет хакеров в Tornado Cash, а затем выводились на Ethereum-адрес, после чего объединились с активами, полученными от других краж группировки.
График криминалистической экспертизы. Данные: TRM Labs.
В том же году несколько переводов поступило внебиржевому трейдеру из КНР Ву Хуэйхуэю, позднее внесенному в санкционный список OFAC.
С июля 2022 до ноября 2023 года USDT небольшими партиями выводились на P2P-платформы Paxful и Noones.
Декабрь 2020 года: взлом основателя Nexus Mutual Хью Карпа
14 декабря хакеры получили удаленный доступ к компьютеру Карпа и похитили из его MetaMask 370 000 NXM ($8,3 млн).
С 16 по 17 декабря 137,1 BTC из этой суммы шестью транзакциями поступили на централизованный сервис микширования ChipMixer. Через несколько часов 136 BTC были выведены обратно в Ethereum через Ren Project и консолидированы со средствами от других краж.
График криминалистической экспертизы. Данные: TRM Labs.
Пройдя через Tornado Cash, активы оказались на новом Ren-кошельке.
В марте 2021 года похищенная криптовалюта многократно прогонялась между сетями биткоина и Ethereum посредством ChipMixer. В апреле небольшую часть BTC продали Ву Хуэйхуэю. Остальные суммы поступили на биржу Bixin, платформы Paxful и Noones.
Апрель 2021 года: взлом основателя EasyFi Анкитта Гаура
По аналогии с предыдущим кейсом у Гауры украли $81 млн в различных токенах через вредоносную версию MetaMask.
Далее активы ушли на новые адреса при помощи кроссчейн-переводов, затем отправились в ChipMixer и вернулись в сеть Ethereum через протокол Ren.
В июне 2022 года средства с двух адресов поступили на новые EOA-адреса, откуда консолидировались с прочими незаконно полученными криптовалютами. Далее в числе других средств они ушли на биржу Binance.
Еще одна партия средств выводилась на новые Ethereum-кошельки в виде renBTC через ChipMixer, впоследствии обмениваясь на DAI и wBTC.
Финальные перемещения опять привели исследователей к Paxful и Noones, куда активы в виде USDT поступали небольшими партиями до ноября 2023 года.
График криминалистической экспертизы. Данные: TRM Labs.
Июль 2021 год: взлом Bondly
Ущерб от инцидента составил $8,5 млн в Ethereum, BSC и Polygon.
Все активы прошли миксер Tornado Cash и через мультичейн-мосты поступили на новые Ethereum-адреса.
В июне 2022 года объединенные с другими похищенными средствами они попали на Binance. И вновь до ноября 2023 года партии USDT уходили на Paxful и Noones.
Август и сентябрь 2021 года: неизвестные хаки
Из-за компрометации закрытого ключа несколько человек потеряли $2 млн. Хакеры сразу конвертировали активы в ETH, вывели на единый адрес и отправили в Tornado Cash.
Через промежуточный кошелек средства объединили с другими нелегальными доходами и распределили по биржам.
График криминалистической экспертизы. Данные: TRM Labs.
Октябрь 2021 года: взлом MGNR и PolyPlay
MGNR потеряла $24 млн. Конвертированные в Ethereum активы двумя частями прошли через Tornado Cash и оказались на ранее использовавшихся кошельках Lazarus Group. С лета 2022 года USDT уходили на Paxful и Noones.
Ущерб PolyPlay составил $1,6 млн. Отмывание проходило по аналогичной схеме.
Ноябрь 2021: взлом bZx
Фишинговая атака на протокол принесла хакерам $55 млн. Вся криптовалюта после Tornado Cash была дополнительно замиксована с ранее отмытыми активами от перечисленных выше взломов и поступила на Paxful.
Август 2023 года: хаки Steadefi и CoinShift
Потери пользователей составили $1,2 млн. В случае со Steadefi хакеры притворились сотрудником инвестиционного фонда Spirit Blockchain Group.
CoinShift публично не заявляла об инциденте, но средства с привязанных к основателю платформы мультисиг-кошельков были одномоментно выведены 16 августа.
Похищенный Ethereum от обоих взломов частями ушел на Tornado Cash с разницей в несколько минут.
Депозиты Steadefi и CoinShift на Tornado Cash по 100 ETH. Данные: ZachXBT.
Распределенные по трем адресам активы в дальнейшем попали на единый кошелек. После конвертации в USDT они поступили на счета хакеров в Paxful и Noones.
Результаты расследования
В общей сложности принадлежащие Lazarus Group аккаунты на P2P-платфомах Paxful и Noones получили $44 млн в период с июля 2022 по ноябрь 2023 года. В дальнейшем хакеры перешли на новые депозитные адреса.
График криминалистической экспертизы. Данные: TRM Labs.
Вся эта сумма была конвертирована в фиат посредством банковских переводов или получения наличных. Традиционно с этой целью Lazarus Group прибегает к услугам китайских внебиржевых трейдеров.
В ноябре 2023 года Tether внесла $374 000 из похищенных хакерами средств в черный список. Неназванная сумма также заморожена на централизованных биржах в четвертом квартале 2023 года.
Кроме того, трое из четырех эмитентов стейблкоинов заблокировали дополнительные $3,4 млн, на принадлежащих киберпреступникам адресах.
Ранее ForkLog сообщал, что Lazarus Group создала фейкового инвестора для атаки на DeFi-сегмент.
