Lazarus Group ถูกตามรอยการฟอกเงิน 300,000 ล้านวอนจากการแฮ็กคริปโต 25 ครั้ง
(zachxbt.mirror.xyz)- Lazarus Group ซึ่งเป็นที่รู้กันว่าเกี่ยวข้องกับรัฐบาลเกาหลีเหนือ ถูกเชื่อมโยงกับเส้นทางเงินประมาณ 200 ล้านดอลลาร์ ($200m) ที่มาจากการแฮ็กมากกว่า 25 ครั้งซึ่งมุ่งเป้าไปที่บริษัทและบุคคลในวงการคริปโต ระหว่างเดือนสิงหาคม 2020 ถึงตุลาคม 2023
- เงินที่ถูกขโมยถูกรวบรวมไว้ในกระเป๋าเงินตัวกลาง จากนั้นถูกส่งผ่าน Tornado Cash, ChipMixer, Ren Protocol, บริดจ์, เทรดเดอร์ OTC, เอ็กซ์เชนจ์แบบรวมศูนย์ และมาร์เก็ตเพลส P2P อย่าง Paxful·Noones ซ้ำไปมา
- ในหลายเหตุการณ์ พบหลักฐานว่าที่อยู่ที่ใช้ขโมยเงินและที่อยู่ถอนเงินจากมิกเซอร์ถูกเชื่อมโยงกลับเข้าหากัน หรือมีการใช้ที่อยู่ฝากเงิน Paxful·Noones เดิมซ้ำ ทำให้เห็นสัญญาณว่าเงินจากการแฮ็กหลายกรณีถูกรวมเข้าสู่เส้นทางฟอกเงินเดียวกัน
- เงินที่เกี่ยวข้องซึ่งย้ายไปยังที่อยู่ฝากเงินของ Paxful·Noones ระหว่างเดือนกรกฎาคม 2022 ถึงพฤศจิกายน 2023 มีมูลค่า 44 ล้านดอลลาร์ และจากการวิเคราะห์ OSINT มีความเป็นไปได้สูงว่าบัญชี 2 บัญชีที่มีปริมาณธุรกรรมสอดคล้องกันถูกใช้ในการแปลงเป็นเงินตรา
- แม้จะมีการขึ้นบัญชีดำ 374,000 USDT ของ Tether, การอายัดโดยเอ็กซ์เชนจ์แบบรวมศูนย์ และการขึ้นบัญชีดำเพิ่มเติมจากผู้ออก stablecoin แต่ดูเหมือนว่าเงินบางส่วนถูกเปลี่ยนเป็นการโอนผ่านธนาคารหรือเงินสดผ่านมาร์เก็ตเพลส P2P
Lazarus Group และขอบเขตการสอบสวน
- Lazarus Group ซึ่งรู้จักกันในชื่อ Bluenoroff หรือ APT38 ด้วย เป็นกลุ่มภัยคุกคามที่ทราบกันว่าเชื่อมโยงกับรัฐบาลเกาหลีเหนือตั้งแต่ปี 2009 และดำเนินการโจมตีเพื่อวัตถุประสงค์ทางการเงินโดยใช้มัลแวร์ที่ปรับแต่งเฉพาะ
- ในอดีต กลุ่มนี้เป็นที่รู้จักจากเหตุการณ์ แฮ็ก Sony Pictures ในปี 2014 และการ โจรกรรม Bangladesh Bank มูลค่า 81 ล้านดอลลาร์ในปี 2016 และในช่วงหลังจุดมุ่งเป้าการโจมตีได้ย้ายไปยังอุตสาหกรรมคริปโต
- TRM และ Chainalysis ประเมินว่ามูลค่าการขโมยคริปโตที่เกี่ยวข้องกับเกาหลีเหนือตั้งแต่ปี 2017 อยู่ที่ 3.0–4.1 พันล้านดอลลาร์
- การติดตามครั้งนี้ไล่ตามการเคลื่อนย้ายเงินจาก การแฮ็ก 25 ครั้ง ที่มุ่งเป้าไปยังบริษัทและบุคคลในวงการคริปโต ระหว่างเดือนสิงหาคม 2020 ถึงตุลาคม 2023 และยืนยันเส้นทางที่คริปโตที่ถูกขโมยถูกแลกเป็นเงินตราผ่านบัญชีมาร์เก็ตเพลส P2P
ปี 2020: CoinBerry, Unibright, CoinMetro
- CoinBerry ระงับการถอนเงินนานกว่า 12 ชั่วโมง หลังจากมีเงิน 370,000 ดอลลาร์ไหลออกจากฮอตวอลเล็ต Bitcoin·Ethereum เมื่อวันที่ 24 สิงหาคม 2020
- เอ็กซ์เชนจ์ไม่ได้รายงานเหตุการณ์นี้ต่อสาธารณะ แต่ในการฟ้องร้องปี 2022 มีการเปิดเผยว่าในปี 2020 มีผู้ใช้ 500 คนสามารถถอน 120 BTC ได้เนื่องจากบั๊กของซอฟต์แวร์
- Unibright ตรวจพบการโอนโดยไม่ได้รับอนุญาตมูลค่า 400,000 ดอลลาร์จากหลายกระเป๋าเงินที่ทีมดูแลอยู่ เมื่อวันที่ 11 กันยายน 2020 และสาเหตุคือการขโมย private key
- ผู้โจมตีแลกสินทรัพย์ที่ขโมยมาเป็น ETH บนเอ็กซ์เชนจ์แบบกระจายศูนย์ทันที
- CoinMetro เผชิญเหตุละเมิดความปลอดภัยเมื่อวันที่ 6 ตุลาคม 2020 โดยมีคริปโตมูลค่า 750,000 ดอลลาร์ถูกโอนออกจากฮอตวอลเล็ตโดยไม่ได้รับอนุญาต
- ทีม Parsiq ตัดสินใจทำ hard fork โทเคน เพื่อป้องกันไม่ให้ผู้โจมตีขายโทเคน PRQ เพิ่ม และเพื่อคุ้มครองเงินของผู้ใช้
- เหตุการณ์เหล่านี้รวมถึงเงินของเหยื่อรายบุคคลถูกรวบรวมผ่านกระเป๋าเงินตัวกลางไปยังที่อยู่ 0x0864 ในช่วงต้นเดือนมกราคม 2021
- วันที่ 11 มกราคม 2021 0x0864 ฝาก 3,000 ETH เข้า Tornado Cash
- หลังจากนั้นมีการย้าย 1,814.49 ETH จากที่อยู่ 0x1031 และฝาก 17 ครั้ง × 100 ETH พร้อมอีก 112.1 ETH เข้า Tornado Cash
- ระหว่างวันที่ 11–14 มกราคม 2021 มีการถอน 45 ครั้ง × 100 ETH ไปยังที่อยู่เดียว และปลายทางการถอนดังกล่าวถูกเชื่อมโยงกลับไปยังที่อยู่ที่ใช้ขโมยเดิม ซึ่งสนับสนุนความแม่นยำของการ demix
- เงินที่ถูกฟอกถูกส่งผ่านที่อยู่ตัวกลางหลายแห่งและรวมกับเงินที่ Lazarus Group ขโมยมาจากกรณีอื่น จากนั้นตั้งแต่เดือนกรกฎาคม 2022 ก็เริ่มมีการฝาก USDT เข้า Paxful
- ตั้งแต่เดือนเมษายน 2023 มีการใช้มาร์เก็ตเพลส P2P อีกแห่งคือ Noones ด้วย
- USDT ถูกทยอยส่งเป็นชุด ๆ อย่างช้า ๆ จนถึงเดือนพฤศจิกายน 2023
- ในปี 2021 มีการโอนหลายครั้งจากที่อยู่ 0x9973 ไปยังเทรดเดอร์ OTC ในจีนชื่อ Wu Huihui
- ในเดือนเมษายน 2023 มีการเผยแพร่คำฟ้องต่อ Wu และเขาถูกเพิ่มในรายชื่อ OFAC SDN ด้วยข้อกล่าวหาว่าสนับสนุนการชำระเงินที่เกี่ยวข้องกับเกาหลีเหนือ
ธันวาคม 2020: การแฮ็ก Hugh Karp ผู้ก่อตั้ง Nexus Mutual
- วันที่ 14 ธันวาคม 2020 Hugh Karp ผู้ก่อตั้ง Nexus Mutual ถูกผู้โจมตีเข้าถึงคอมพิวเตอร์ของเขาจากระยะไกล ปรับแต่งส่วนขยาย MetaMask แล้วหลอกให้อนุมัติธุรกรรมอันตราย
- ส่งผลให้ 370,000 NXM ซึ่งขณะนั้นมีมูลค่า 8.3 ล้านดอลลาร์ ถูกโอนออกไป
- ผู้โจมตีฝาก 137.1 BTC เข้าไปยังบริการมิกซิ่งแบบรวมศูนย์ ChipMixer แบ่งเป็น 6 ครั้ง ระหว่างวันที่ 16–17 ธันวาคม 2020
- ไม่กี่ชั่วโมงต่อมา มีการถอน 136 BTC ออกจาก ChipMixer แล้วบริดจ์กลับไปยัง Ethereum ผ่าน Ren Project ก่อนจะถูกรวมกับเงินที่ขโมยมาจากกรณีอื่น
- ฝั่ง Ethereum ที่อยู่ที่ใช้ขโมยได้ฝาก 2,571 ETH เข้า Tornado Cash ระหว่างวันที่ 16–19 ธันวาคม 2020
- ทันทีหลังการฝาก ที่อยู่ปลายทาง Ren เริ่มได้รับเงินถอนจาก Tornado Cash
- แม้จะไม่ใช่การจับคู่แบบ 1:1 แต่เมื่อวันที่ 25 ธันวาคม 2020 Lazarus Group เชื่อมโยงที่อยู่หลังการมิกซ์กับที่อยู่ที่ใช้ขโมยเดิม ทำให้ผลของ anonymity set ลดลง
- ในเดือนมีนาคม 2021 มีการขาย wNXM เพิ่มเติมเป็น renBTC จากนั้นบริดจ์เป็น Bitcoin ผ่าน Ren Protocol แล้วฝากเข้า ChipMixer
- วันที่ 10 มีนาคม 29.98 renBTC ถูกย้ายเป็น Bitcoin และฝากเข้า ChipMixer และประมาณ 5 ชั่วโมงต่อมา มีการถอน 29.92 BTC หลังหักค่าธรรมเนียม แล้วบริดจ์กลับไปยัง Ethereum
- เงินดังกล่าวถูกรวมเข้ากับที่อยู่ 0x0864b พร้อมเงินจาก CoinMetro และการแฮ็กบุคคลที่ไม่ได้รายงาน
- วันที่ 20 และ 31 มีนาคม มีการทำซ้ำขั้นตอนบริดจ์ renBTC, ฝาก·ถอน ChipMixer และบริดจ์กลับ Ethereum
- เงินที่ถูกฟอกบางส่วนถูกบริดจ์ผ่าน Ren ไปยัง Bitcoin ในรูปแบบ 19.96 BTC ในเดือนเมษายน 2021 แล้วส่งไปยัง Wu Huihui เทรดเดอร์ OTC ที่ถูก OFAC คว่ำบาตร
- ระหว่างวันที่ 24 พฤษภาคมถึง 10 กรกฎาคม 2021 เงิน 11 ล้านดอลลาร์ถูกย้ายจากที่อยู่ 0xb27 ไปยังที่อยู่ฝากเงินของ Bixin
- ในเดือนกุมภาพันธ์ 2023 เงินคงเหลือถูกรวมกับเงินที่ขโมยมาจากกรณีอื่น แล้วฝากเข้า Paxful และ Noones
เมษายน 2021: การแฮ็ก Ankitt Gaur ผู้ก่อตั้ง EasyFi
- วันที่ 19 เมษายน 2021 ทีม EasyFi ตรวจพบการโอนโทเค็น EASY โดยไม่ได้รับอนุญาตจำนวนมากจากกระเป๋าเงินของทีมที่อยู่ภายใต้การจัดการของ Ankitt Gaur ผู้ก่อตั้ง
- อุปกรณ์ของเขาถูกฝัง MetaMask เวอร์ชันอันตราย ทำให้ผู้โจมตีควบคุม private key ได้ และมีทรัพย์สินถูกขโมยไปรวม 81 ล้านดอลลาร์
- การวิเคราะห์เพิ่มเติมพบว่าไม่กี่วันก่อนหน้านั้น อีเมล phishing ที่ใช้ SendGrid ซึ่งดูเหมือนส่งโดย Dan ผู้ก่อตั้ง Pantera Capital ได้ถูกส่งไปยังอีเมลส่วนตัวของ Ankitt Gaur
- รูปแบบการโจมตีนี้คล้ายกับกรณี Nexus Mutual ของ Hugh Karp ในเดือนธันวาคม 2020
- ระหว่างการขโมย สภาพคล่อง USD·DAI·USDT ใน pool ของโปรโตคอลมูลค่า 6 ล้านดอลลาร์ ถูกถอนออก และ 2.98M EASY ถูกย้ายไปยังที่อยู่ 0x4371
- ที่อยู่ที่เกี่ยวข้องกับ Nexus Mutual, CoinMetro, Unibright, CoinBerry และการแฮ็กบุคคลหลายราย ส่ง ETH ไปยังที่อยู่ 0x3149 ในเดือนมีนาคม~เมษายน 2021 ทำให้เกิดความเชื่อมโยงแบบ on-chain
- วันที่ 20~21 เมษายน 2021 มีการ bridge รวม 209.64 BTC จาก Ethereum ไปยัง Bitcoin จากที่อยู่ที่ขโมยมา แล้วฝากเข้า ChipMixer
- ในช่วงเดียวกัน มีการถอน 209.5 BTC จาก ChipMixer โดยสะท้อนค่าธรรมเนียมแล้ว และไม่มีการถอนอื่นที่มีลักษณะคล้ายกัน
- 209.22 BTC ถูกรวมเข้าที่อยู่สองแห่งในวันที่ 22 เมษายน 2021 แล้วถูก bridge กลับมายัง Ethereum ผ่าน Ren Protocol
- ในเดือนมิถุนายน 2022 เงิน 4.9 ล้านดอลลาร์ จากการแฮ็กหลายครั้งถูกย้ายไปยังที่อยู่ฝากของ Binance สองแห่ง
- หลังจากนั้น เงินที่อยู่ใน 0xe0c7 และ 0x313d ถูกแปลงเป็น DAI·wBTC และผ่านที่อยู่กลางก่อนถูกรวมกับเงินที่ Lazarus Group ขโมยมาในเหตุการณ์อื่น
- มีการฝาก USDT ไปยัง Paxful ตั้งแต่เดือนกรกฎาคม 2022 และไปยัง Noones ตั้งแต่เดือนเมษายน 2023 โดยการโอนเป็นชุดดำเนินต่อไปจนถึงเดือนพฤศจิกายน 2023
กรกฎาคม 2021: การแฮ็ก Bondly
- วันที่ 14 กรกฎาคม 2021 Brandon Smith ซีอีโอของ Bondly Finance ถูกโจมตี โดยผู้โจมตีเข้าถึงบัญชีรหัสผ่านที่เก็บ recovery phrase ของ hardware wallet
- ผู้โจมตีโอนสิทธิ์ความเป็นเจ้าของ contract โทเค็น Bondly ให้ตนเอง และนำทรัพย์สินของทีมมูลค่า 8.5 ล้านดอลลาร์ ไป
- ผู้โจมตีฝาก 48 ครั้ง × 100 BNB เข้า Tornado Cash บน BSC ระหว่างวันที่ 15~16 กรกฎาคม 2021
- บน Ethereum มีการฝาก 5 ครั้ง × 100 ETH และ 52 ครั้ง × 100,000 DAI เข้า Tornado Cash
- วันที่ 11 สิงหาคม 2021 มีการฝากเพิ่มอีก 202 ETH เข้า Tornado Cash
- ฝั่ง BSC มีการถอน 47 ครั้ง × 100 BNB ไปยังที่อยู่ 0x4197 ระหว่างวันที่ 17~19 กรกฎาคม 2021
- เงินฝาก 1 ครั้งถูกถอนกลับไปยังผู้ฝากเดิม 0xc433 ทำให้โดยรวมการฝากและถอนใกล้เคียง 1:1
- จากนั้นเงินถูกย้ายผ่าน Multichain bridge ไปยัง Ethereum และถูกรวมกับเงินที่ถอนบน Ethereum
- ฝั่ง Ethereum มีการถอน 35 ครั้ง × 100,000 DAI และ 3 ครั้ง × 100 ETH ไปยังที่อยู่ 0x365 ระหว่างวันที่ 16~20 กรกฎาคม 2021
- วันที่ 22~29 กรกฎาคม 2021 มีการถอน 14 ครั้ง × 100,000 DAI และ 2 ครั้ง × 100 ETH ไปยัง 0xe0c7 และถูกรวมกับเงินจากการแฮ็ก EasyFi
- วันที่ 12~23 สิงหาคม 2021 ก็มีการย้าย 2 ครั้ง × 100 ETH ไปยัง 0xe0c7 เช่นกัน
- pool 100,000 DAI ของ Tornado Cash มีการใช้งานน้อย และการฝาก 52 ครั้งของผู้โจมตี Bondly ทำให้ pool เพิ่มขึ้น 15% ส่งผลให้ประสิทธิภาพของ anonymity set ลดลงอย่างมาก
- ในเดือนมิถุนายน 2022 เงิน 4.9 ล้านดอลลาร์ที่ถูกฟอกมาจาก Nexus Mutual, EasyFi, Bondly และอื่น ๆ ถูกย้ายไปยังที่อยู่ฝากของ Binance สองแห่ง
- หลังจากนั้น เงินถูกฝากไปยัง Paxful และ Noones ในรูปแบบ USDT
สิงหาคม~กันยายน 2021: การแฮ็กบุคคลที่ไม่ได้มีรายงาน
- ในเดือนสิงหาคมและกันยายน 2021 บุคคลหลายรายได้รับความเสียหายจากการแฮ็กมูลค่ารวม 2 ล้านดอลลาร์ โดยคาดว่าสาเหตุคือการขโมย private key
- หลักฐานที่ใช้ประกอบการประเมิน ได้แก่ ความเชื่อมโยงแบบ on-chain กับการแฮ็กที่เป็นที่รู้จัก เช่น FinNexus, กระแสที่สินทรัพย์ถูกขายเป็น ETH ทันทีหลังไหลออกจากกระเป๋าผู้เสียหาย และการที่กิจกรรมในกระเป๋าผู้เสียหายหยุดลงหลังการโอน
- เงินที่ถูกขโมยหลายรายการถูกรวมไว้ที่ที่อยู่ 0x5271 และวันที่ 15 กันยายน 2021 มีการฝาก 581 ETH เข้า Tornado Cash
- วันที่ 20 กันยายน 2021 มีการถอน 591 ETH จาก Tornado Cash ไปยังที่อยู่เดียว
- เงิน 2 ล้านดอลลาร์ที่ออกจาก mixer ผ่านที่อยู่กลาง ก่อนถูกรวมกับเงินที่ Lazarus Group ขโมยมาในเหตุการณ์อื่น แล้วฝากเข้า exchange
- ที่อยู่ฝาก Paxful 0x246 เชื่อมโยงการถอนและฝากของ Tornado Cash จึงช่วยสนับสนุนความแม่นยำของการ de-mix
ตุลาคม 2021: MGNR และ PolyPlay
- วันที่ 8 ตุลาคม 2021 MGNR ถูกขโมย private key ทำให้สินทรัพย์มูลค่า 24 ล้านดอลลาร์ไหลออกจากกระเป๋าเงิน
- ทีมระบุในโพสต์ X ที่ถูกลบไปแล้วว่าได้รับอีเมล phishing ที่อ้าง Pantera Capital ผ่าน SendGrid ซึ่งคล้ายกับกรณีของ Ankitt Gaur จาก EasyFi
- ทีมระบุว่า private key ของ hot wallet เคยถูกแชร์ชั่วคราวระหว่างสมาชิกทีมหลายคน
- ผู้โจมตี MGNR bridge และ swap สินทรัพย์ที่ขโมยมาบนเชน EVM แล้วรวมไปยังที่อยู่ 0x577 และฝาก 4,900 ETH เข้า Tornado Cash ระหว่างวันที่ 8~12 ตุลาคม 2021
- ที่อยู่อื่นที่เชื่อมโยงกับผู้โจมตีก็ฝาก 210 ETH เข้า Tornado Cash ในช่วงเดียวกัน
- ที่อยู่ที่เคยรับเงินจาก EasyFi และ Bondly ได้รับ 700 ETH และ 4,500 ETH ตามลำดับจาก Tornado Cash
- วันที่ 14 มกราคม 2022 ที่อยู่ที่เชื่อมโยงกับเงินที่ขโมยจาก MGNR ฝาก 6 ครั้ง × 100 ETH และ 5 ครั้ง × 10 ETH เข้า Tornado Cash
- ประมาณ 24 ชั่วโมงต่อมา มีการถอน 4 ครั้ง × 100 ETH และ 5 ครั้ง × 10 ETH ไปยัง 0x964 แล้วถูกย้ายไปยัง 0x1398 โดยการถอนหลาย denomination ภายในช่วงเวลาหนึ่งช่วยเสริมความแข็งแรงของการ de-mix
- วันที่ 28 ตุลาคม 2021 PolyPlay เกิดการโอนโดยไม่ได้รับอนุญาตมูลค่า 1.6 ล้านดอลลาร์ จากกระเป๋าเงินหลายใบที่ทีมดูแล
- โพสต์ X ที่ถูกลบไปแล้วมีการแชร์ที่อยู่กระเป๋าของผู้โจมตีและอีเมล phishing ที่อ้างการลิสต์บน Binance
- เงิน 350 ETH จากเหตุการณ์ PolyPlay ถูกฝากเข้า Tornado Cash วันที่ 8 พฤศจิกายน 2021 และ 90 นาทีต่อมา 320 ETH ถูกถอนออกไปยังที่อยู่ที่เชื่อมโยงกับการแฮ็กอื่นของ Lazarus Group
- หลังจากนั้น เงินถูกฝากเข้าบัญชี Paxful และ Noones
พฤศจิกายน 2021: การแฮ็ก bZx
- วันที่ 3 พฤศจิกายน 2021 โปรโตคอลกู้ยืม bZx ถูกขโมยเงิน 55 ล้านดอลลาร์จาก deployment บน BSC และ Polygon
- นักพัฒนา bZx ถูกโจมตีแบบ phishing หลังจากรันสคริปต์บนคอมพิวเตอร์ส่วนตัว และผู้โจมตีได้รับสิทธิ์เข้าถึง private key
- ทีม bZx วิเคราะห์เหตุการณ์ร่วมกับ Kaspersky และมองว่ามีความเป็นไปได้สูงว่าเป็น Lazarus Group
- เหตุผลคือความคล้ายกันระหว่างเครื่องมือที่เคยวิเคราะห์จากการโจมตีของ Lazarus Group ในอดีตกับอีเมล phishing ที่ได้รับ
- ผู้โจมตี Bondly เชื่อมโยงโดยตรงกับการแฮ็ก bZx
- ที่อยู่ขโมยของ Bondly 0xc43 ให้เงินแก่หนึ่งในที่อยู่ที่ผู้โจมตี bZx ใช้บน Polygon
- บน Ethereum เงินของ Bondly ก็ย้ายไปยังที่อยู่กลางที่ได้รับเงินจากที่อยู่เกี่ยวข้องกับการแฮ็ก bZx
- ทั้งสองเหตุการณ์มีความคล้ายกันตรงที่ผู้โจมตีเข้าถึงรหัสผ่านได้และหลังจากนั้นปรับแต่ง smart contract ของโปรโตคอล
- บน on-chain เหตุการณ์ bZx ยังเชื่อมโยงกับ mgnr.io, PolyPlay, Wonderhero และการแฮ็กผู้ก่อตั้ง ANKR
- ยอดคงเหลือเล็กน้อยที่เหลือในหลายที่อยู่ที่ขโมยมา ถูกกวาดไปยังที่อยู่เดียวในเดือนกุมภาพันธ์ 2022
- เงินจากการแฮ็ก bZx ถูกฟอกผ่าน Tornado Cash
- ระหว่างวันที่ 15~18 พฤศจิกายน 2021 มีการฝาก 8,600 ETH เข้า Tornado Cash
- วันที่ 13 ธันวาคม 2021 มีการฝากเพิ่มอีก 2,360 ETH
- คาดว่ามีการถอน 4,100 ETH ระหว่างวันที่ 3~10 ธันวาคม 2021, 940 ETH วันที่ 18 ธันวาคม และ 1,000 ETH วันที่ 23 ธันวาคม ไปยังที่อยู่ที่เกี่ยวข้องตามลำดับ
- แม้จะตรวจสอบการถอน Tornado Cash ทั้งหมดที่เกิน 400 ETH ตั้งแต่วันที่ 15 พฤศจิกายนถึง 31 ธันวาคม 2021 แล้ว แต่ไม่พบการถอนอื่นที่มีลักษณะเดียวกัน
- ในการแฮ็ก bZx มีเพียง 6,400 ETH ที่ถูก de-mix ได้บางส่วน แต่ที่อยู่ฝาก Paxful 0x2465 และ 0x593d เชื่อมโยงเหตุการณ์ CoinBerry, CoinMetro, Nexus Mutual, FinNexus, PolyPlay และ bZx เข้าด้วยกัน
สิงหาคม 2023: Steadefi และ CoinShift
- Steadefi แจ้งว่าเมื่อวันที่ 7 สิงหาคม 2023 กระเป๋าเงินของผู้ deploy ถูกเจาะ และผู้โจมตีได้โอนสิทธิ์ความเป็นเจ้าของของ lending·strategy vault ทั้งหมดไปยังที่อยู่ที่ตนควบคุม แล้วขโมยสินทรัพย์ผู้ใช้ไป 1.2 ล้านดอลลาร์
- ตามรายงานเกี่ยวกับ DPRK ที่สหประชาชาติเผยแพร่ในเดือนมีนาคม 2024 สมาชิกทีม Steadefi ได้ติดต่อกับบุคคลใน Telegram ที่แอบอ้างว่าเป็นคนทำงานในกองทุนชื่อ “Spirit Blockchain Group”
- ผู้โจมตีส่งไฟล์อันตรายที่ปลอมเป็นเอกสารนำเสนอกองทุนลงทุน และสมาชิกทีม Steadefi ได้ดาวน์โหลดไฟล์ดังกล่าว
- กรณีของ CoinShift ไม่มีการประกาศต่อสาธารณะ แต่เมื่อวันที่ 16 สิงหาคม 2023 มีความเคลื่อนไหวที่สินทรัพย์จากกระเป๋า multisig ที่เชื่อมโยงกับผู้ก่อตั้งถูกย้ายออกอย่างกะทันหันและถูกขายทันที จึงมีความเป็นไปได้ว่าได้รับความเสียหายจากการถูกขโมย private key
- ในกระบวนการฟอกเงินเดือนสิงหาคม 2023 เงินจากการแฮ็ก Steadefi จำนวน 624.3 ETH ถูกฝากเข้า Tornado Cash ผ่านที่อยู่ 0xe10d
- เงินจากการแฮ็ก CoinShift จำนวน 900 ETH ก็ถูกฝากเข้า Tornado Cash ผ่านที่อยู่ 0x68c4 เช่นกัน
- เมื่อวันที่ 23 สิงหาคม 2023 มีประวัติการฝากของผู้โจมตีทั้งสองเข้า pool 100 ETH ของ Tornado Cash ที่ทับซ้อนกัน โดยฝากห่างกันเพียงไม่กี่นาที
- เงินฝาก 15 ครั้ง × 100 ETH จากทั้งสองเหตุการณ์ถูกถอนออกไปยังสามที่อยู่เป็นจำนวนที่ตรงกันภายใน 24 ชั่วโมง และถูกรวมเข้าเป็นที่อยู่เดียวเมื่อวันที่ 12 ตุลาคม 2023
- หลังจากนั้นเงินถูกแปลงเป็น USDT ผ่านที่อยู่ตัวกลาง และถูกฝากเข้า Paxful และ Noones ในเดือนพฤศจิกายน 2023
- ที่อยู่ฝากของ Paxful 0x2465 ถูกนำกลับมาใช้ซ้ำในการแฮ็กอื่น ๆ ของ Lazarus Group เช่น EasyFi, Bondly, Nexus Mutual
เงิน 44 ล้านดอลลาร์ที่ย้ายไปยัง Paxful·Noones
- ตั้งแต่เดือนกรกฎาคม 2022 ถึงเดือนพฤศจิกายน 2023 เงินจากการแฮ็กของ Lazarus Group จำนวน 44 ล้านดอลลาร์ ถูกย้ายไปยังที่อยู่ฝากของ Paxful และ Noones
- มูลค่าตามที่อยู่ฝากของ Paxful ที่ตรวจพบ:
- 0x246569f8b420c8d850c475c53d0d59973b3f08fc: ฝาก 12.8 ล้านดอลลาร์ ระหว่างเดือนกรกฎาคม 2022~พฤศจิกายน 2023
- 0x593dc5e1ad81667bbfc90739dd2c09c926920e3b: ฝาก 12.1 ล้านดอลลาร์ ระหว่างเดือนมกราคม 2023~พฤศจิกายน 2023
- ที่อยู่ฝากของ Noones ที่ตรวจพบ:
- 0x2e1155cf5374cba058a04fd03ebd0ba19afe580d: ฝาก 14.3 ล้านดอลลาร์ ระหว่างเดือนเมษายน 2023~พฤศจิกายน 2023
- ตั้งแต่วันที่ 25 พฤศจิกายน 2023 Lazarus Group เริ่มใช้ที่อยู่ฝาก Paxful·Noones ชุดใหม่
- รายการทั้งหมดถูกรวบรวมไว้ใน รายงาน Chainabuse
หลักฐานบ่งชี้ว่าถูกแปลงเป็นเงินตราทั่วไปในตลาด P2P
- การวิเคราะห์ OSINT พบผู้ใช้สองรายที่ใช้งานบน Paxful และ Noones คือ EasyGoatfish351, FairJunco470
- ปริมาณการซื้อขายของทั้งสองบัญชีสอดคล้องกับขนาดของเงินแฮ็กที่ฝากเข้าไป
- ช่วงเวลาที่บัญชีมีความเคลื่อนไหวก็ตรงกับช่วงเวลาฝากเงิน จึงมีความเป็นไปได้สูงว่าบัญชีดังกล่าวถูกใช้งาน
- มีการวิเคราะห์เงินไหลออกจาก hot wallet ของ Paxful และ Noones ด้วย แต่ไม่พบการถอนคริปโตเคอร์เรนซีในขนาดใกล้เคียงกัน
- มีความเป็นไปได้ว่า USDT ที่ฝากเข้าไปถูกแลกเป็นการโอนผ่านธนาคารหรือเงินสดภายในเว็บไซต์
- ในอดีต Lazarus Group ก็เคยใช้เทรดเดอร์ OTC ในจีนเพื่อแปลงคริปโตเคอร์เรนซีเป็นเงินตราทั่วไป
การอายัด·บัญชีดำ และเหตุการณ์เชื่อมโยงเพิ่มเติม
- ณ เวลาที่ทำการสืบสวน Tether ได้ขึ้นบัญชีดำ 374,000 USDT ในเดือนพฤศจิกายน 2023
- ในไตรมาส 4 ปี 2023 มีจำนวนเงินที่ไม่เปิดเผยถูกอายัดในศูนย์ซื้อขายแบบรวมศูนย์
- ในบรรดาผู้ออก stablecoin 4 ราย มี 3 รายที่ขึ้นบัญชีดำเงินอีก 3.4 ล้านดอลลาร์ ที่เหลืออยู่ในกลุ่มที่อยู่ที่เกี่ยวข้อง
- เหตุการณ์ที่เชื่อมโยงเพิ่มเติม:
- การแฮ็กผู้ใช้ Exchange ในเดือนมกราคม 2021
- การแฮ็ก Arthur0x ในเดือนมีนาคม 2022
- การแฮ็ก Geracoin·Darshan ในเดือนกันยายน~ตุลาคม 2022
- การแฮ็กผู้ก่อตั้ง Maverick ในเดือนตุลาคม 2023
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
สงสัยจริงจังว่า ถ้าสหรัฐฯ ตัดสินใจฝ่ายเดียวว่าจะ ตัดเกาหลีเหนือออกจากอินเทอร์เน็ต จะยากแค่ไหน? แค่ตัดสายเคเบิลไม่กี่เส้นก็พอหรือเปล่า?
โดยพื้นฐานแล้ว เกาหลีเหนือใช้อินเทอร์เน็ตแทบจะเฉพาะเพื่อหารายได้จากการฉ้อโกงหรือการละเมิดมาตรการคว่ำบาตรเท่านั้น ไม่ให้ประชาชนใช้เพื่อจุดประสงค์อื่น และยังห้ามออกนอกประเทศเพราะถ้าออกไปต่างประเทศก็คงไม่กลับมา
ถ้าจู่ ๆ ตัดอินเทอร์เน็ตทั้งประเทศแม้เพียงชั่วคราว คนทำงานทางไกลที่ถูกจ้างโดยไม่รู้ว่าเป็นชาวเกาหลีเหนือก็น่าจะหายไปพร้อมกัน จนตัวตนถูกเปิดเผย ผมสงสัยว่ามันเป็นไปไม่ได้ในเชิงโลจิสติกส์ หรือทำไม่ได้เพราะพันธมิตรคงยอมรับได้ยากกันแน่
บทวิเคราะห์น่าประทับใจ แต่ผมพลาดส่วนที่เป็น การฟอกเงิน ไปหรือเปล่า? การฟอกเงินคือการสร้างคำอธิบายว่าเงินนั้นสะอาด ไม่ใช่การซ่อนเหตุผลว่าทำไมมันอาจสกปรก
สหรัฐฯ/แคนาดา ปี 2024 หน่วยงานกำกับดูแลสหรัฐฯ ปรับ 3 พันล้านดอลลาร์ https://rupakghose.substack.com/p/td-banks-aml-issues-and-fi...
จากการสอบสวนของ DoJ ระบุว่า ระหว่างปี 2016~2021 รายได้จากการขายเฟนทานิลในสหรัฐฯ มากกว่า 650 ล้านดอลลาร์ถูกฟอกผ่านบริการธนาคารให้แก่องค์กรอาชญากรรมจีนและผู้ค้ายา
แคนาดา ปี 2018 https://news.ycombinator.com/item?id=33918115
รายงานพิเศษของรัฐบาลท้องถิ่น 2 ฉบับระบุว่า เงินฟอกที่คาดว่าหลั่งไหลเข้าสู่อสังหาริมทรัพย์ในบริติชโคลัมเบียในปี 2018 มูลค่า 5.3 พันล้านดอลลาร์ ทำให้ราคาบ้านสูงขึ้น 5%
ออสเตรเลีย ปี 2015 https://www.macrobusiness.com.au/2015/06/stop-money-launderi...
Credit Suisse ประเมินว่าในช่วง 6 ปีที่ผ่านมา เงินทุนจากจีนประมาณ 28 พันล้านดอลลาร์ถูกลงทุนในตลาดที่อยู่อาศัยของออสเตรเลีย
บล็อกเชนนั้นดีตรงที่สามารถติดตามกระบวนการฟอกเงินได้ แถมยังทำโพสต์บล็อกที่มีกราฟสวย ๆ ได้ด้วย ผมชอบจุดนั้น ในทางกลับกัน ธนาคารแบบเดิมทั้งหมดทึบแสง
แต่เงินที่ถูกฟอกผ่านคริปโตเป็นแค่น้ำหยดเดียวเมื่อเทียบกับขนาดกิจกรรมอาชญากรรมทั่วโลก กิจกรรมอาชญากรรมมีมาก่อนบล็อกเชนหลายร้อย หลายพันปี
แถมยังไม่อยากพูดถึงเงินหลายหมื่นล้านดอลลาร์ที่หายไปตอนถูกส่งไปในนาม “ความช่วยเหลือ” ไม่ว่าจะยูเครน เฮติ หรือที่ไหนก็ตาม ทุกขั้นตอนมีเจ้าหน้าที่และบุคคลที่ทุจริตอยู่
ตัวอย่างที่ผมชอบที่สุดคือ สหรัฐฯ ส่งเงินสดธนบัตร 100 ดอลลาร์มูลค่า 12 พันล้านดอลลาร์ ใส่เครื่อง 747 ไปเพื่อ “ช่วยฟื้นฟูอิรัก” แล้วในนั้น 9 พันล้านดอลลาร์ถูกบันทึกอย่างเป็นทางการว่า “สูญหาย” ใช่ สูญหาย มีบันทึกอย่างเป็นทางการ
ดังนั้นเงิน 200 ล้านดอลลาร์ของกลุ่ม Lazarus เทียบกับธนบัตร 100 ดอลลาร์จำนวน 9 พันล้านดอลลาร์แล้ว ก็ยังไม่ถึงขั้นต้องร้องไห้
ตามทฤษฎีคือทำให้การซ่อนที่มาของรายได้จากอาชญากรรมเป็นสิ่งผิดกฎหมาย เพื่อให้สามารถตั้งข้อหาฟอกเงินได้แม้พิสูจน์อาชญากรรมต้นทางไม่ได้ ตั้งแต่ตรงนี้ก็ชวนสงสัยพอสมควรแล้ว คล้ายกับความพยายามของรัฐบาลที่จะเลี่ยงภาระการพิสูจน์ความผิดของอาชญากรรมต้นทาง
แต่เรื่องนี้ก็ยังใช้ไม่ได้ผลดีอยู่ดี อาชญากรตั้งธุรกิจถูกกฎหมายเป็นฉากหน้า แล้วอ้างว่าเงินมาจากตรงนั้น ถ้าจะพิสูจน์ในทางกลับกัน สุดท้ายก็ต้องเปิดโปงอาชญากรรมต้นทางอยู่ดี
ในความเป็นจริง ข้อหาฟอกเงินมักถูกใส่ในสองกรณี กรณีหนึ่งคือหลังจากพิสูจน์อาชญากรรมต้นทางได้แล้ว ก็เพิ่มข้อหาฟอกเงินเข้าไปโดยไม่จำเป็น อีกกรณีคือคนบริสุทธิ์ที่ไม่ใช่อาชญากรมืออาชีพและไม่รู้กฎหมายดี ถูกเล่นงานฐานฟอกเงินทางเทคนิคทั้งที่ไม่ได้ทำอะไรผิดมากนัก หรือพฤติกรรมทั่วไปที่ไม่เป็นอันตรายไปติดกฎ หรือถูก AI ตรวจผิดแบบมั่ว ๆ จนถูกฟ้องหรือถูกไล่ออกจากระบบธนาคาร
ในทางกลับกัน องค์กรอาชญากรรมขนาดใหญ่รู้วิธีทำให้ธุรกรรมดูเหมือนธุรกรรมปกติ และรัฐบาลก็ดุธนาคารว่าจับไม่ได้ แต่จากมุมของธนาคาร เมื่อองค์กรอาชญากรรมปลอมให้เหมือนธุรกรรมปกติแล้ว แทบไม่มีวิธีจับได้จริง ๆ
กฎหมายนี้เป็นกฎหมายโง่ ๆ ที่ให้โทษมากกว่าประโยชน์ ยกเลิกไปแล้วตั้งข้อหาอาชญากรด้วยความผิดจริงจะดีกว่า
แน่นอนว่าในที่นี้ “แก้” หมายถึง “ห้ามไม่ให้พูดเรื่องนั้น”
ถ้าท้ายที่สุดคริปโตทั้งหมดไหลไปที่ Paxful/Noones แล้วถูกแปลงเป็นเงินสกุลทางการที่นั่น ก็น่าจะค่อนข้างง่ายไม่ใช่หรือที่จะใช้หมายเรียกขอข้อมูลบัญชีเงินสกุลทางการทั้งหมดจากบริษัทเหล่านั้น?
บริการเหล่านี้จำนวนมากตอนนี้ไม่มีอยู่แล้ว หรือมีความปลอดภัยเข้มงวดขึ้น เช่น ChipMixer หายไปแล้ว มีการคว่ำบาตร Tornado Cash, การเพิ่มความเข้มงวด KYC และการวิเคราะห์บนเชนที่ดีขึ้น
ขอถามเพราะสงสัยว่า อินสแตนซ์ MetaMask บนอุปกรณ์หนึ่ง ๆ ถูกเปลี่ยนเป็นเวอร์ชันอันตรายที่ถูกแก้ไขได้อย่างไร? เรื่องแบบนั้นทำงานยังไงกันแน่?
บทความนี้อธิบายลงลึกได้ดีขึ้น https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is...
โชคดีที่มีคริปโต ไม่อย่างนั้นเราคงไม่มีทางรู้เรื่องแบบนี้เลย
หวังว่า ZachXBT จะได้รับค่าตอบแทนคุ้มกับความพยายามที่เขาใช้ในการจับพวกมิจฉาชีพ ไม่ค่อยแน่ใจว่าเขาหารายได้อย่างไร