在2023年1月,联邦调查局(FBI)正式指控北韩著名黑客组织Lazarus集团策划并实施了一起价值1亿美元的加密货币劫案。此次事件引起了全球范围内的广泛关注,因为它不仅涉及到巨额资金的损失,还揭示了网络犯罪的复杂性和国家赞助黑客活动的日益猖獗。本文将深入探讨这一事件的背景、过程及其可能造成的影响。 此劫案发生在2022年6月底。当时,黑客们通过黑客手段成功入侵了Horizon Bridge,这是一个允许用户在不同区块链网络间转移虚拟资产的服务平台,归属于区块链公司Harmony。FBI的声明是首次将该事件的黑客归咎于一个北韩国家资助的团体。
根据区块链分析公司Elliptic的研究,事件发生后不久便将该黑客行为与Lazarus集团联系了起来。根据FBI的说法,这起犯罪案件再次表明北韩窃取和洗钱虚拟货币的活动,目的是为其弹道导弹和大规模杀伤性武器项目提供资金支持。 Lazarus集团的网络犯罪不仅仅是针对加密货币行业,它更是北韩政权在面对国际制裁时的一种生存手段。Venafi的安全战略和威胁情报副总裁Kevin Bocek指出,网络犯罪已成为金氏政权存活的重要工具,使其能够逃避国际制裁。任何具备盈利潜力的公司都有可能成为目标,尤其是在相对不受监管的加密货币行业。 FBI如何识别出罪犯的身份?事实上,黑客们在洗钱被盗资金的过程中暴露了自己的身份。
2023年1月,Lazarus开始通过一种名为Railgun的隐私协议进行资金洗钱。Railgun的工作原理类似于加密货币混合服务,能够有效隐藏交易踪迹。在被广泛制裁的Tornado Cash混合器被使用之前,Lazarus使用Tornado Cash混合器进行资金的隐匿。 Elliptic的研究表明,至今通过Railgun发送的资金中,约有70%的资金都是来自于Horizon的劫案。然而,由于Horizon劫案中被盗资金占据了Railgun所有以太币交易的相当大比例,因此此混兑的效果是不够理想的。 根据FBI的说法,Lazarus通过Railgun发送了价值约6000万美元的以太坊,并将其存入了三个加密货币交易所。
Elliptic表示,其中包括Binance和Huobi在内的两个交易所宣布已识别、阻止并查获了一部分被盗资金。此外,FBI还公布了其余4000万美元以比特币形式存放在11个加密货币钱包的信息。 那么,Lazarus是如何攻陷Horizon的呢?根据FBI的说法,该组织使用了一种名为TraderTraitor的恶意软件进行攻击。该恶意软件通常通过在社交媒体平台上发布虚假的职位广告来传播,支持macOS和Windows操作系统。根据区块链安全公司SlowMist的研究员23pds的说法,黑客的目标主要是IT操作、软件开发和系统管理领域的从业人员。 TraderTraitor会伪装成各类加密货币平台的软件,诱使受害者下载。
一旦从Horizon Bridge窃取了价值1亿美元的资金,黑客就使用一种去中心化交易所Uniswap将以太坊资产转换成总计85.8 ETH。Elliptic认为,这是避免被查封的常见洗钱手法。 接下来,Lazarus开始将ETH转移到Tornado Cash混合器中,以隐藏资金的来源并更容易通过交易所进行兑现。根据美国财政部的说法,Tornado Cash自2019年创立以来,已被用于洗钱超过70亿美元的虚拟货币,其中几乎有5亿美元是被Lazarus窃取的。 Lazarus组织被认为已从加密货币交易所和去中心化金融服务中窃取超过20亿美元的加密资产。例如,它被指控涉及2022年4月价值5.4亿美元的Ronin Bridge黑客事件。
该组织通常通过社会工程攻击来获取多签名钱包的加密密钥。 Bocek指出,Lazarus以攻击和窃取加密货币而闻名,特别是通过利用机器身份的弱点。他补充道,Harmony提供的证据表明,其私钥(机器身份的核心组成部分)已被攻破,这使得Lazarus得以解密数据并转移资金。 这一事件暴露了网络犯罪的复杂性,对加密货币行业以及国家安全的潜在影响不容忽视。在未来,各行各业都需加强网络安全措施,以应对日益严峻的网络威胁。
