- 8,027
- 10
- 13 Ноя 2022
Ончейн-исследователь ZachXBT Для просмотра ссылки Войди
2020 год: взломы CoinBerry, Unibright и CoinMetroВ августе злоумышленники вывели $370 000 с горячих биткоин- и Ethereum-кошельков канадской криптобиржи CoinBerry. В сентябре — $400 000 с платформы Unbright, в октябре — $750 000 у CoinMetro.
Средства от этих трех краж Lazarus Group перемещала через промежуточные кошельки, прежде чем консолидировала Для просмотра ссылки Войди
Затем средства по частям поступали на счет хакеров в Для просмотра ссылки Войди
В том же году несколько переводов поступило внебиржевому трейдеру из КНР Ву Хуэйхуэю, позднее Для просмотра ссылки Войди
С июля 2022 до ноября 2023 года USDT небольшими партиями выводились на P2P-платформы Paxful и Noones.
Декабрь 2020 года: взлом основателя Nexus Mutual Хью Карпа14 декабря хакеры получили удаленный доступ к компьютеру Карпа и похитили из его MetaMask 370 000 NXM ($8,3 млн).
С 16 по 17 декабря 137,1 BTC из этой суммы шестью транзакциями поступили на централизованный сервис микширования ChipMixer. Через несколько часов 136 BTC были выведены обратно в Ethereum через Ren Project и консолидированы со средствами от других краж.
Пройдя через Tornado Cash, активы оказались на новом Ren-кошельке.
В марте 2021 года похищенная криптовалюта многократно прогонялась между сетями биткоина и Ethereum посредством ChipMixer. В апреле небольшую часть BTC продали Ву Хуэйхуэю. Остальные суммы поступили на биржу Bixin, платформы Paxful и Noones.
Апрель 2021 года: взлом основателя EasyFi Анкитта ГаураПо аналогии с предыдущим кейсом у Гауры украли $81 млн в различных токенах через вредоносную версию MetaMask.
Далее активы ушли на новые адреса при помощи кроссчейн-переводов, затем отправились в ChipMixer и вернулись в сеть Ethereum через протокол Ren.
В июне 2022 года средства с двух адресов поступили на новые EOA-адреса, откуда консолидировались с прочими незаконно полученными криптовалютами. Далее в числе других средств они ушли на биржу Binance.
Еще одна партия средств выводилась на новые Ethereum-кошельки в виде renBTC через ChipMixer, впоследствии обмениваясь на DAI и wBTC.
Финальные перемещения опять привели исследователей к Paxful и Noones, куда активы в виде USDT поступали небольшими партиями до ноября 2023 года.
Июль 2021 год: взлом BondlyУщерб от инцидента составил $8,5 млн в Ethereum, BSC и Polygon.
Все активы прошли миксер Tornado Cash и через мультичейн-мосты поступили на новые Ethereum-адреса.
В июне 2022 года объединенные с другими похищенными средствами они попали на Binance. И вновь до ноября 2023 года партии USDT уходили на Paxful и Noones.
Август и сентябрь 2021 года: неизвестные хакиИз-за компрометации закрытого ключа несколько человек потеряли $2 млн. Хакеры сразу конвертировали активы в ETH, вывели на единый адрес и отправили в Tornado Cash.
Через промежуточный кошелек средства объединили с другими нелегальными доходами и распределили по биржам.
Октябрь 2021 года: взлом MGNR и PolyPlayMGNR потеряла $24 млн. Конвертированные в Ethereum активы двумя частями прошли через Tornado Cash и оказались на ранее использовавшихся кошельках Lazarus Group. С лета 2022 года USDT уходили на Paxful и Noones.
Ущерб PolyPlay составил $1,6 млн. Отмывание проходило по аналогичной схеме.
Ноябрь 2021: взлом bZxФишинговая атака на протокол принесла хакерам $55 млн. Вся криптовалюта после Tornado Cash была дополнительно замиксована с ранее отмытыми активами от перечисленных выше взломов и поступила на Paxful.
Август 2023 года: хаки Steadefi и CoinShiftПотери пользователей составили $1,2 млн. В случае со Steadefi хакеры притворились сотрудником инвестиционного фонда Spirit Blockchain Group.
CoinShift публично не заявляла об инциденте, но средства с привязанных к основателю платформы мультисиг-кошельков были одномоментно выведены 16 августа.
Похищенный Ethereum от обоих взломов частями ушел на Tornado Cash с разницей в несколько минут.
Распределенные по трем адресам активы в дальнейшем попали на единый кошелек. После конвертации в USDT они поступили на счета хакеров в Paxful и Noones.
Результаты расследованияВ общей сложности принадлежащие Lazarus Group аккаунты на P2P-платфомах Для просмотра ссылки Войди
Вся эта сумма была конвертирована в фиат посредством банковских переводов или получения наличных. Традиционно с этой целью Lazarus Group прибегает к услугам китайских внебиржевых трейдеров.
В ноябре 2023 года Tether внесла $374 000 из похищенных хакерами средств в черный список. Неназванная сумма также заморожена на централизованных биржах в четвертом квартале 2023 года.
Кроме того, трое из четырех эмитентов стейблкоинов заблокировали дополнительные $3,4 млн, на принадлежащих киберпреступникам адресах.
Ранее ForkLog сообщал, что Lazarus Group Для просмотра ссылки Войди
- Источник новости
- forklog.com
