1 คะแนน โดย GN⁺ 2024-09-16 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Lazarus Group ซึ่งเป็นที่รู้กันว่าเกี่ยวข้องกับรัฐบาลเกาหลีเหนือ ถูกเชื่อมโยงกับเส้นทางเงินประมาณ 200 ล้านดอลลาร์ ($200m) ที่มาจากการแฮ็กมากกว่า 25 ครั้งซึ่งมุ่งเป้าไปที่บริษัทและบุคคลในวงการคริปโต ระหว่างเดือนสิงหาคม 2020 ถึงตุลาคม 2023
  • เงินที่ถูกขโมยถูกรวบรวมไว้ในกระเป๋าเงินตัวกลาง จากนั้นถูกส่งผ่าน Tornado Cash, ChipMixer, Ren Protocol, บริดจ์, เทรดเดอร์ OTC, เอ็กซ์เชนจ์แบบรวมศูนย์ และมาร์เก็ตเพลส P2P อย่าง Paxful·Noones ซ้ำไปมา
  • ในหลายเหตุการณ์ พบหลักฐานว่าที่อยู่ที่ใช้ขโมยเงินและที่อยู่ถอนเงินจากมิกเซอร์ถูกเชื่อมโยงกลับเข้าหากัน หรือมีการใช้ที่อยู่ฝากเงิน Paxful·Noones เดิมซ้ำ ทำให้เห็นสัญญาณว่าเงินจากการแฮ็กหลายกรณีถูกรวมเข้าสู่เส้นทางฟอกเงินเดียวกัน
  • เงินที่เกี่ยวข้องซึ่งย้ายไปยังที่อยู่ฝากเงินของ Paxful·Noones ระหว่างเดือนกรกฎาคม 2022 ถึงพฤศจิกายน 2023 มีมูลค่า 44 ล้านดอลลาร์ และจากการวิเคราะห์ OSINT มีความเป็นไปได้สูงว่าบัญชี 2 บัญชีที่มีปริมาณธุรกรรมสอดคล้องกันถูกใช้ในการแปลงเป็นเงินตรา
  • แม้จะมีการขึ้นบัญชีดำ 374,000 USDT ของ Tether, การอายัดโดยเอ็กซ์เชนจ์แบบรวมศูนย์ และการขึ้นบัญชีดำเพิ่มเติมจากผู้ออก stablecoin แต่ดูเหมือนว่าเงินบางส่วนถูกเปลี่ยนเป็นการโอนผ่านธนาคารหรือเงินสดผ่านมาร์เก็ตเพลส P2P

Lazarus Group และขอบเขตการสอบสวน

  • Lazarus Group ซึ่งรู้จักกันในชื่อ Bluenoroff หรือ APT38 ด้วย เป็นกลุ่มภัยคุกคามที่ทราบกันว่าเชื่อมโยงกับรัฐบาลเกาหลีเหนือตั้งแต่ปี 2009 และดำเนินการโจมตีเพื่อวัตถุประสงค์ทางการเงินโดยใช้มัลแวร์ที่ปรับแต่งเฉพาะ
  • ในอดีต กลุ่มนี้เป็นที่รู้จักจากเหตุการณ์ แฮ็ก Sony Pictures ในปี 2014 และการ โจรกรรม Bangladesh Bank มูลค่า 81 ล้านดอลลาร์ในปี 2016 และในช่วงหลังจุดมุ่งเป้าการโจมตีได้ย้ายไปยังอุตสาหกรรมคริปโต
  • TRM และ Chainalysis ประเมินว่ามูลค่าการขโมยคริปโตที่เกี่ยวข้องกับเกาหลีเหนือตั้งแต่ปี 2017 อยู่ที่ 3.0–4.1 พันล้านดอลลาร์
  • การติดตามครั้งนี้ไล่ตามการเคลื่อนย้ายเงินจาก การแฮ็ก 25 ครั้ง ที่มุ่งเป้าไปยังบริษัทและบุคคลในวงการคริปโต ระหว่างเดือนสิงหาคม 2020 ถึงตุลาคม 2023 และยืนยันเส้นทางที่คริปโตที่ถูกขโมยถูกแลกเป็นเงินตราผ่านบัญชีมาร์เก็ตเพลส P2P

ปี 2020: CoinBerry, Unibright, CoinMetro

  • CoinBerry ระงับการถอนเงินนานกว่า 12 ชั่วโมง หลังจากมีเงิน 370,000 ดอลลาร์ไหลออกจากฮอตวอลเล็ต Bitcoin·Ethereum เมื่อวันที่ 24 สิงหาคม 2020
    • เอ็กซ์เชนจ์ไม่ได้รายงานเหตุการณ์นี้ต่อสาธารณะ แต่ในการฟ้องร้องปี 2022 มีการเปิดเผยว่าในปี 2020 มีผู้ใช้ 500 คนสามารถถอน 120 BTC ได้เนื่องจากบั๊กของซอฟต์แวร์
  • Unibright ตรวจพบการโอนโดยไม่ได้รับอนุญาตมูลค่า 400,000 ดอลลาร์จากหลายกระเป๋าเงินที่ทีมดูแลอยู่ เมื่อวันที่ 11 กันยายน 2020 และสาเหตุคือการขโมย private key
    • ผู้โจมตีแลกสินทรัพย์ที่ขโมยมาเป็น ETH บนเอ็กซ์เชนจ์แบบกระจายศูนย์ทันที
  • CoinMetro เผชิญเหตุละเมิดความปลอดภัยเมื่อวันที่ 6 ตุลาคม 2020 โดยมีคริปโตมูลค่า 750,000 ดอลลาร์ถูกโอนออกจากฮอตวอลเล็ตโดยไม่ได้รับอนุญาต
    • ทีม Parsiq ตัดสินใจทำ hard fork โทเคน เพื่อป้องกันไม่ให้ผู้โจมตีขายโทเคน PRQ เพิ่ม และเพื่อคุ้มครองเงินของผู้ใช้
  • เหตุการณ์เหล่านี้รวมถึงเงินของเหยื่อรายบุคคลถูกรวบรวมผ่านกระเป๋าเงินตัวกลางไปยังที่อยู่ 0x0864 ในช่วงต้นเดือนมกราคม 2021
    • วันที่ 11 มกราคม 2021 0x0864 ฝาก 3,000 ETH เข้า Tornado Cash
    • หลังจากนั้นมีการย้าย 1,814.49 ETH จากที่อยู่ 0x1031 และฝาก 17 ครั้ง × 100 ETH พร้อมอีก 112.1 ETH เข้า Tornado Cash
    • ระหว่างวันที่ 11–14 มกราคม 2021 มีการถอน 45 ครั้ง × 100 ETH ไปยังที่อยู่เดียว และปลายทางการถอนดังกล่าวถูกเชื่อมโยงกลับไปยังที่อยู่ที่ใช้ขโมยเดิม ซึ่งสนับสนุนความแม่นยำของการ demix
  • เงินที่ถูกฟอกถูกส่งผ่านที่อยู่ตัวกลางหลายแห่งและรวมกับเงินที่ Lazarus Group ขโมยมาจากกรณีอื่น จากนั้นตั้งแต่เดือนกรกฎาคม 2022 ก็เริ่มมีการฝาก USDT เข้า Paxful
    • ตั้งแต่เดือนเมษายน 2023 มีการใช้มาร์เก็ตเพลส P2P อีกแห่งคือ Noones ด้วย
    • USDT ถูกทยอยส่งเป็นชุด ๆ อย่างช้า ๆ จนถึงเดือนพฤศจิกายน 2023
  • ในปี 2021 มีการโอนหลายครั้งจากที่อยู่ 0x9973 ไปยังเทรดเดอร์ OTC ในจีนชื่อ Wu Huihui
    • ในเดือนเมษายน 2023 มีการเผยแพร่คำฟ้องต่อ Wu และเขาถูกเพิ่มในรายชื่อ OFAC SDN ด้วยข้อกล่าวหาว่าสนับสนุนการชำระเงินที่เกี่ยวข้องกับเกาหลีเหนือ

ธันวาคม 2020: การแฮ็ก Hugh Karp ผู้ก่อตั้ง Nexus Mutual

  • วันที่ 14 ธันวาคม 2020 Hugh Karp ผู้ก่อตั้ง Nexus Mutual ถูกผู้โจมตีเข้าถึงคอมพิวเตอร์ของเขาจากระยะไกล ปรับแต่งส่วนขยาย MetaMask แล้วหลอกให้อนุมัติธุรกรรมอันตราย
    • ส่งผลให้ 370,000 NXM ซึ่งขณะนั้นมีมูลค่า 8.3 ล้านดอลลาร์ ถูกโอนออกไป
  • ผู้โจมตีฝาก 137.1 BTC เข้าไปยังบริการมิกซิ่งแบบรวมศูนย์ ChipMixer แบ่งเป็น 6 ครั้ง ระหว่างวันที่ 16–17 ธันวาคม 2020
    • ไม่กี่ชั่วโมงต่อมา มีการถอน 136 BTC ออกจาก ChipMixer แล้วบริดจ์กลับไปยัง Ethereum ผ่าน Ren Project ก่อนจะถูกรวมกับเงินที่ขโมยมาจากกรณีอื่น
  • ฝั่ง Ethereum ที่อยู่ที่ใช้ขโมยได้ฝาก 2,571 ETH เข้า Tornado Cash ระหว่างวันที่ 16–19 ธันวาคม 2020
    • ทันทีหลังการฝาก ที่อยู่ปลายทาง Ren เริ่มได้รับเงินถอนจาก Tornado Cash
    • แม้จะไม่ใช่การจับคู่แบบ 1:1 แต่เมื่อวันที่ 25 ธันวาคม 2020 Lazarus Group เชื่อมโยงที่อยู่หลังการมิกซ์กับที่อยู่ที่ใช้ขโมยเดิม ทำให้ผลของ anonymity set ลดลง
  • ในเดือนมีนาคม 2021 มีการขาย wNXM เพิ่มเติมเป็น renBTC จากนั้นบริดจ์เป็น Bitcoin ผ่าน Ren Protocol แล้วฝากเข้า ChipMixer
    • วันที่ 10 มีนาคม 29.98 renBTC ถูกย้ายเป็น Bitcoin และฝากเข้า ChipMixer และประมาณ 5 ชั่วโมงต่อมา มีการถอน 29.92 BTC หลังหักค่าธรรมเนียม แล้วบริดจ์กลับไปยัง Ethereum
    • เงินดังกล่าวถูกรวมเข้ากับที่อยู่ 0x0864b พร้อมเงินจาก CoinMetro และการแฮ็กบุคคลที่ไม่ได้รายงาน
    • วันที่ 20 และ 31 มีนาคม มีการทำซ้ำขั้นตอนบริดจ์ renBTC, ฝาก·ถอน ChipMixer และบริดจ์กลับ Ethereum
  • เงินที่ถูกฟอกบางส่วนถูกบริดจ์ผ่าน Ren ไปยัง Bitcoin ในรูปแบบ 19.96 BTC ในเดือนเมษายน 2021 แล้วส่งไปยัง Wu Huihui เทรดเดอร์ OTC ที่ถูก OFAC คว่ำบาตร
    • ระหว่างวันที่ 24 พฤษภาคมถึง 10 กรกฎาคม 2021 เงิน 11 ล้านดอลลาร์ถูกย้ายจากที่อยู่ 0xb27 ไปยังที่อยู่ฝากเงินของ Bixin
    • ในเดือนกุมภาพันธ์ 2023 เงินคงเหลือถูกรวมกับเงินที่ขโมยมาจากกรณีอื่น แล้วฝากเข้า Paxful และ Noones

เมษายน 2021: การแฮ็ก Ankitt Gaur ผู้ก่อตั้ง EasyFi

  • วันที่ 19 เมษายน 2021 ทีม EasyFi ตรวจพบการโอนโทเค็น EASY โดยไม่ได้รับอนุญาตจำนวนมากจากกระเป๋าเงินของทีมที่อยู่ภายใต้การจัดการของ Ankitt Gaur ผู้ก่อตั้ง
    • อุปกรณ์ของเขาถูกฝัง MetaMask เวอร์ชันอันตราย ทำให้ผู้โจมตีควบคุม private key ได้ และมีทรัพย์สินถูกขโมยไปรวม 81 ล้านดอลลาร์
  • การวิเคราะห์เพิ่มเติมพบว่าไม่กี่วันก่อนหน้านั้น อีเมล phishing ที่ใช้ SendGrid ซึ่งดูเหมือนส่งโดย Dan ผู้ก่อตั้ง Pantera Capital ได้ถูกส่งไปยังอีเมลส่วนตัวของ Ankitt Gaur
    • รูปแบบการโจมตีนี้คล้ายกับกรณี Nexus Mutual ของ Hugh Karp ในเดือนธันวาคม 2020
  • ระหว่างการขโมย สภาพคล่อง USD·DAI·USDT ใน pool ของโปรโตคอลมูลค่า 6 ล้านดอลลาร์ ถูกถอนออก และ 2.98M EASY ถูกย้ายไปยังที่อยู่ 0x4371
    • ที่อยู่ที่เกี่ยวข้องกับ Nexus Mutual, CoinMetro, Unibright, CoinBerry และการแฮ็กบุคคลหลายราย ส่ง ETH ไปยังที่อยู่ 0x3149 ในเดือนมีนาคม~เมษายน 2021 ทำให้เกิดความเชื่อมโยงแบบ on-chain
  • วันที่ 20~21 เมษายน 2021 มีการ bridge รวม 209.64 BTC จาก Ethereum ไปยัง Bitcoin จากที่อยู่ที่ขโมยมา แล้วฝากเข้า ChipMixer
    • ในช่วงเดียวกัน มีการถอน 209.5 BTC จาก ChipMixer โดยสะท้อนค่าธรรมเนียมแล้ว และไม่มีการถอนอื่นที่มีลักษณะคล้ายกัน
    • 209.22 BTC ถูกรวมเข้าที่อยู่สองแห่งในวันที่ 22 เมษายน 2021 แล้วถูก bridge กลับมายัง Ethereum ผ่าน Ren Protocol
  • ในเดือนมิถุนายน 2022 เงิน 4.9 ล้านดอลลาร์ จากการแฮ็กหลายครั้งถูกย้ายไปยังที่อยู่ฝากของ Binance สองแห่ง
    • หลังจากนั้น เงินที่อยู่ใน 0xe0c7 และ 0x313d ถูกแปลงเป็น DAI·wBTC และผ่านที่อยู่กลางก่อนถูกรวมกับเงินที่ Lazarus Group ขโมยมาในเหตุการณ์อื่น
    • มีการฝาก USDT ไปยัง Paxful ตั้งแต่เดือนกรกฎาคม 2022 และไปยัง Noones ตั้งแต่เดือนเมษายน 2023 โดยการโอนเป็นชุดดำเนินต่อไปจนถึงเดือนพฤศจิกายน 2023

กรกฎาคม 2021: การแฮ็ก Bondly

  • วันที่ 14 กรกฎาคม 2021 Brandon Smith ซีอีโอของ Bondly Finance ถูกโจมตี โดยผู้โจมตีเข้าถึงบัญชีรหัสผ่านที่เก็บ recovery phrase ของ hardware wallet
    • ผู้โจมตีโอนสิทธิ์ความเป็นเจ้าของ contract โทเค็น Bondly ให้ตนเอง และนำทรัพย์สินของทีมมูลค่า 8.5 ล้านดอลลาร์ ไป
  • ผู้โจมตีฝาก 48 ครั้ง × 100 BNB เข้า Tornado Cash บน BSC ระหว่างวันที่ 15~16 กรกฎาคม 2021
    • บน Ethereum มีการฝาก 5 ครั้ง × 100 ETH และ 52 ครั้ง × 100,000 DAI เข้า Tornado Cash
    • วันที่ 11 สิงหาคม 2021 มีการฝากเพิ่มอีก 202 ETH เข้า Tornado Cash
  • ฝั่ง BSC มีการถอน 47 ครั้ง × 100 BNB ไปยังที่อยู่ 0x4197 ระหว่างวันที่ 17~19 กรกฎาคม 2021
    • เงินฝาก 1 ครั้งถูกถอนกลับไปยังผู้ฝากเดิม 0xc433 ทำให้โดยรวมการฝากและถอนใกล้เคียง 1:1
    • จากนั้นเงินถูกย้ายผ่าน Multichain bridge ไปยัง Ethereum และถูกรวมกับเงินที่ถอนบน Ethereum
  • ฝั่ง Ethereum มีการถอน 35 ครั้ง × 100,000 DAI และ 3 ครั้ง × 100 ETH ไปยังที่อยู่ 0x365 ระหว่างวันที่ 16~20 กรกฎาคม 2021
    • วันที่ 22~29 กรกฎาคม 2021 มีการถอน 14 ครั้ง × 100,000 DAI และ 2 ครั้ง × 100 ETH ไปยัง 0xe0c7 และถูกรวมกับเงินจากการแฮ็ก EasyFi
    • วันที่ 12~23 สิงหาคม 2021 ก็มีการย้าย 2 ครั้ง × 100 ETH ไปยัง 0xe0c7 เช่นกัน
  • pool 100,000 DAI ของ Tornado Cash มีการใช้งานน้อย และการฝาก 52 ครั้งของผู้โจมตี Bondly ทำให้ pool เพิ่มขึ้น 15% ส่งผลให้ประสิทธิภาพของ anonymity set ลดลงอย่างมาก
    • ในเดือนมิถุนายน 2022 เงิน 4.9 ล้านดอลลาร์ที่ถูกฟอกมาจาก Nexus Mutual, EasyFi, Bondly และอื่น ๆ ถูกย้ายไปยังที่อยู่ฝากของ Binance สองแห่ง
    • หลังจากนั้น เงินถูกฝากไปยัง Paxful และ Noones ในรูปแบบ USDT

สิงหาคม~กันยายน 2021: การแฮ็กบุคคลที่ไม่ได้มีรายงาน

  • ในเดือนสิงหาคมและกันยายน 2021 บุคคลหลายรายได้รับความเสียหายจากการแฮ็กมูลค่ารวม 2 ล้านดอลลาร์ โดยคาดว่าสาเหตุคือการขโมย private key
  • หลักฐานที่ใช้ประกอบการประเมิน ได้แก่ ความเชื่อมโยงแบบ on-chain กับการแฮ็กที่เป็นที่รู้จัก เช่น FinNexus, กระแสที่สินทรัพย์ถูกขายเป็น ETH ทันทีหลังไหลออกจากกระเป๋าผู้เสียหาย และการที่กิจกรรมในกระเป๋าผู้เสียหายหยุดลงหลังการโอน
  • เงินที่ถูกขโมยหลายรายการถูกรวมไว้ที่ที่อยู่ 0x5271 และวันที่ 15 กันยายน 2021 มีการฝาก 581 ETH เข้า Tornado Cash
  • วันที่ 20 กันยายน 2021 มีการถอน 591 ETH จาก Tornado Cash ไปยังที่อยู่เดียว
    • เงิน 2 ล้านดอลลาร์ที่ออกจาก mixer ผ่านที่อยู่กลาง ก่อนถูกรวมกับเงินที่ Lazarus Group ขโมยมาในเหตุการณ์อื่น แล้วฝากเข้า exchange
    • ที่อยู่ฝาก Paxful 0x246 เชื่อมโยงการถอนและฝากของ Tornado Cash จึงช่วยสนับสนุนความแม่นยำของการ de-mix

ตุลาคม 2021: MGNR และ PolyPlay

  • วันที่ 8 ตุลาคม 2021 MGNR ถูกขโมย private key ทำให้สินทรัพย์มูลค่า 24 ล้านดอลลาร์ไหลออกจากกระเป๋าเงิน
    • ทีมระบุในโพสต์ X ที่ถูกลบไปแล้วว่าได้รับอีเมล phishing ที่อ้าง Pantera Capital ผ่าน SendGrid ซึ่งคล้ายกับกรณีของ Ankitt Gaur จาก EasyFi
    • ทีมระบุว่า private key ของ hot wallet เคยถูกแชร์ชั่วคราวระหว่างสมาชิกทีมหลายคน
  • ผู้โจมตี MGNR bridge และ swap สินทรัพย์ที่ขโมยมาบนเชน EVM แล้วรวมไปยังที่อยู่ 0x577 และฝาก 4,900 ETH เข้า Tornado Cash ระหว่างวันที่ 8~12 ตุลาคม 2021
    • ที่อยู่อื่นที่เชื่อมโยงกับผู้โจมตีก็ฝาก 210 ETH เข้า Tornado Cash ในช่วงเดียวกัน
    • ที่อยู่ที่เคยรับเงินจาก EasyFi และ Bondly ได้รับ 700 ETH และ 4,500 ETH ตามลำดับจาก Tornado Cash
  • วันที่ 14 มกราคม 2022 ที่อยู่ที่เชื่อมโยงกับเงินที่ขโมยจาก MGNR ฝาก 6 ครั้ง × 100 ETH และ 5 ครั้ง × 10 ETH เข้า Tornado Cash
    • ประมาณ 24 ชั่วโมงต่อมา มีการถอน 4 ครั้ง × 100 ETH และ 5 ครั้ง × 10 ETH ไปยัง 0x964 แล้วถูกย้ายไปยัง 0x1398 โดยการถอนหลาย denomination ภายในช่วงเวลาหนึ่งช่วยเสริมความแข็งแรงของการ de-mix
  • วันที่ 28 ตุลาคม 2021 PolyPlay เกิดการโอนโดยไม่ได้รับอนุญาตมูลค่า 1.6 ล้านดอลลาร์ จากกระเป๋าเงินหลายใบที่ทีมดูแล
    • โพสต์ X ที่ถูกลบไปแล้วมีการแชร์ที่อยู่กระเป๋าของผู้โจมตีและอีเมล phishing ที่อ้างการลิสต์บน Binance
  • เงิน 350 ETH จากเหตุการณ์ PolyPlay ถูกฝากเข้า Tornado Cash วันที่ 8 พฤศจิกายน 2021 และ 90 นาทีต่อมา 320 ETH ถูกถอนออกไปยังที่อยู่ที่เชื่อมโยงกับการแฮ็กอื่นของ Lazarus Group
    • หลังจากนั้น เงินถูกฝากเข้าบัญชี Paxful และ Noones

พฤศจิกายน 2021: การแฮ็ก bZx

  • วันที่ 3 พฤศจิกายน 2021 โปรโตคอลกู้ยืม bZx ถูกขโมยเงิน 55 ล้านดอลลาร์จาก deployment บน BSC และ Polygon
    • นักพัฒนา bZx ถูกโจมตีแบบ phishing หลังจากรันสคริปต์บนคอมพิวเตอร์ส่วนตัว และผู้โจมตีได้รับสิทธิ์เข้าถึง private key
  • ทีม bZx วิเคราะห์เหตุการณ์ร่วมกับ Kaspersky และมองว่ามีความเป็นไปได้สูงว่าเป็น Lazarus Group
    • เหตุผลคือความคล้ายกันระหว่างเครื่องมือที่เคยวิเคราะห์จากการโจมตีของ Lazarus Group ในอดีตกับอีเมล phishing ที่ได้รับ
  • ผู้โจมตี Bondly เชื่อมโยงโดยตรงกับการแฮ็ก bZx
    • ที่อยู่ขโมยของ Bondly 0xc43 ให้เงินแก่หนึ่งในที่อยู่ที่ผู้โจมตี bZx ใช้บน Polygon
    • บน Ethereum เงินของ Bondly ก็ย้ายไปยังที่อยู่กลางที่ได้รับเงินจากที่อยู่เกี่ยวข้องกับการแฮ็ก bZx
    • ทั้งสองเหตุการณ์มีความคล้ายกันตรงที่ผู้โจมตีเข้าถึงรหัสผ่านได้และหลังจากนั้นปรับแต่ง smart contract ของโปรโตคอล
  • บน on-chain เหตุการณ์ bZx ยังเชื่อมโยงกับ mgnr.io, PolyPlay, Wonderhero และการแฮ็กผู้ก่อตั้ง ANKR
    • ยอดคงเหลือเล็กน้อยที่เหลือในหลายที่อยู่ที่ขโมยมา ถูกกวาดไปยังที่อยู่เดียวในเดือนกุมภาพันธ์ 2022
  • เงินจากการแฮ็ก bZx ถูกฟอกผ่าน Tornado Cash
    • ระหว่างวันที่ 15~18 พฤศจิกายน 2021 มีการฝาก 8,600 ETH เข้า Tornado Cash
    • วันที่ 13 ธันวาคม 2021 มีการฝากเพิ่มอีก 2,360 ETH
    • คาดว่ามีการถอน 4,100 ETH ระหว่างวันที่ 3~10 ธันวาคม 2021, 940 ETH วันที่ 18 ธันวาคม และ 1,000 ETH วันที่ 23 ธันวาคม ไปยังที่อยู่ที่เกี่ยวข้องตามลำดับ
    • แม้จะตรวจสอบการถอน Tornado Cash ทั้งหมดที่เกิน 400 ETH ตั้งแต่วันที่ 15 พฤศจิกายนถึง 31 ธันวาคม 2021 แล้ว แต่ไม่พบการถอนอื่นที่มีลักษณะเดียวกัน
  • ในการแฮ็ก bZx มีเพียง 6,400 ETH ที่ถูก de-mix ได้บางส่วน แต่ที่อยู่ฝาก Paxful 0x2465 และ 0x593d เชื่อมโยงเหตุการณ์ CoinBerry, CoinMetro, Nexus Mutual, FinNexus, PolyPlay และ bZx เข้าด้วยกัน

สิงหาคม 2023: Steadefi และ CoinShift

  • Steadefi แจ้งว่าเมื่อวันที่ 7 สิงหาคม 2023 กระเป๋าเงินของผู้ deploy ถูกเจาะ และผู้โจมตีได้โอนสิทธิ์ความเป็นเจ้าของของ lending·strategy vault ทั้งหมดไปยังที่อยู่ที่ตนควบคุม แล้วขโมยสินทรัพย์ผู้ใช้ไป 1.2 ล้านดอลลาร์
  • ตามรายงานเกี่ยวกับ DPRK ที่สหประชาชาติเผยแพร่ในเดือนมีนาคม 2024 สมาชิกทีม Steadefi ได้ติดต่อกับบุคคลใน Telegram ที่แอบอ้างว่าเป็นคนทำงานในกองทุนชื่อ “Spirit Blockchain Group”
    • ผู้โจมตีส่งไฟล์อันตรายที่ปลอมเป็นเอกสารนำเสนอกองทุนลงทุน และสมาชิกทีม Steadefi ได้ดาวน์โหลดไฟล์ดังกล่าว
  • กรณีของ CoinShift ไม่มีการประกาศต่อสาธารณะ แต่เมื่อวันที่ 16 สิงหาคม 2023 มีความเคลื่อนไหวที่สินทรัพย์จากกระเป๋า multisig ที่เชื่อมโยงกับผู้ก่อตั้งถูกย้ายออกอย่างกะทันหันและถูกขายทันที จึงมีความเป็นไปได้ว่าได้รับความเสียหายจากการถูกขโมย private key
  • ในกระบวนการฟอกเงินเดือนสิงหาคม 2023 เงินจากการแฮ็ก Steadefi จำนวน 624.3 ETH ถูกฝากเข้า Tornado Cash ผ่านที่อยู่ 0xe10d
    • เงินจากการแฮ็ก CoinShift จำนวน 900 ETH ก็ถูกฝากเข้า Tornado Cash ผ่านที่อยู่ 0x68c4 เช่นกัน
    • เมื่อวันที่ 23 สิงหาคม 2023 มีประวัติการฝากของผู้โจมตีทั้งสองเข้า pool 100 ETH ของ Tornado Cash ที่ทับซ้อนกัน โดยฝากห่างกันเพียงไม่กี่นาที
  • เงินฝาก 15 ครั้ง × 100 ETH จากทั้งสองเหตุการณ์ถูกถอนออกไปยังสามที่อยู่เป็นจำนวนที่ตรงกันภายใน 24 ชั่วโมง และถูกรวมเข้าเป็นที่อยู่เดียวเมื่อวันที่ 12 ตุลาคม 2023
    • หลังจากนั้นเงินถูกแปลงเป็น USDT ผ่านที่อยู่ตัวกลาง และถูกฝากเข้า Paxful และ Noones ในเดือนพฤศจิกายน 2023
    • ที่อยู่ฝากของ Paxful 0x2465 ถูกนำกลับมาใช้ซ้ำในการแฮ็กอื่น ๆ ของ Lazarus Group เช่น EasyFi, Bondly, Nexus Mutual

เงิน 44 ล้านดอลลาร์ที่ย้ายไปยัง Paxful·Noones

  • ตั้งแต่เดือนกรกฎาคม 2022 ถึงเดือนพฤศจิกายน 2023 เงินจากการแฮ็กของ Lazarus Group จำนวน 44 ล้านดอลลาร์ ถูกย้ายไปยังที่อยู่ฝากของ Paxful และ Noones
  • มูลค่าตามที่อยู่ฝากของ Paxful ที่ตรวจพบ:
    • 0x246569f8b420c8d850c475c53d0d59973b3f08fc: ฝาก 12.8 ล้านดอลลาร์ ระหว่างเดือนกรกฎาคม 2022~พฤศจิกายน 2023
    • 0x593dc5e1ad81667bbfc90739dd2c09c926920e3b: ฝาก 12.1 ล้านดอลลาร์ ระหว่างเดือนมกราคม 2023~พฤศจิกายน 2023
  • ที่อยู่ฝากของ Noones ที่ตรวจพบ:
    • 0x2e1155cf5374cba058a04fd03ebd0ba19afe580d: ฝาก 14.3 ล้านดอลลาร์ ระหว่างเดือนเมษายน 2023~พฤศจิกายน 2023
  • ตั้งแต่วันที่ 25 พฤศจิกายน 2023 Lazarus Group เริ่มใช้ที่อยู่ฝาก Paxful·Noones ชุดใหม่

หลักฐานบ่งชี้ว่าถูกแปลงเป็นเงินตราทั่วไปในตลาด P2P

  • การวิเคราะห์ OSINT พบผู้ใช้สองรายที่ใช้งานบน Paxful และ Noones คือ EasyGoatfish351, FairJunco470
    • ปริมาณการซื้อขายของทั้งสองบัญชีสอดคล้องกับขนาดของเงินแฮ็กที่ฝากเข้าไป
    • ช่วงเวลาที่บัญชีมีความเคลื่อนไหวก็ตรงกับช่วงเวลาฝากเงิน จึงมีความเป็นไปได้สูงว่าบัญชีดังกล่าวถูกใช้งาน
  • มีการวิเคราะห์เงินไหลออกจาก hot wallet ของ Paxful และ Noones ด้วย แต่ไม่พบการถอนคริปโตเคอร์เรนซีในขนาดใกล้เคียงกัน
    • มีความเป็นไปได้ว่า USDT ที่ฝากเข้าไปถูกแลกเป็นการโอนผ่านธนาคารหรือเงินสดภายในเว็บไซต์
  • ในอดีต Lazarus Group ก็เคยใช้เทรดเดอร์ OTC ในจีนเพื่อแปลงคริปโตเคอร์เรนซีเป็นเงินตราทั่วไป

การอายัด·บัญชีดำ และเหตุการณ์เชื่อมโยงเพิ่มเติม

  • ณ เวลาที่ทำการสืบสวน Tether ได้ขึ้นบัญชีดำ 374,000 USDT ในเดือนพฤศจิกายน 2023
  • ในไตรมาส 4 ปี 2023 มีจำนวนเงินที่ไม่เปิดเผยถูกอายัดในศูนย์ซื้อขายแบบรวมศูนย์
  • ในบรรดาผู้ออก stablecoin 4 ราย มี 3 รายที่ขึ้นบัญชีดำเงินอีก 3.4 ล้านดอลลาร์ ที่เหลืออยู่ในกลุ่มที่อยู่ที่เกี่ยวข้อง
  • เหตุการณ์ที่เชื่อมโยงเพิ่มเติม:
    • การแฮ็กผู้ใช้ Exchange ในเดือนมกราคม 2021
    • การแฮ็ก Arthur0x ในเดือนมีนาคม 2022
    • การแฮ็ก Geracoin·Darshan ในเดือนกันยายน~ตุลาคม 2022
    • การแฮ็กผู้ก่อตั้ง Maverick ในเดือนตุลาคม 2023

1 ความคิดเห็น

 
GN⁺ 2024-09-16
ความคิดเห็นบน Hacker News
  • สงสัยจริงจังว่า ถ้าสหรัฐฯ ตัดสินใจฝ่ายเดียวว่าจะ ตัดเกาหลีเหนือออกจากอินเทอร์เน็ต จะยากแค่ไหน? แค่ตัดสายเคเบิลไม่กี่เส้นก็พอหรือเปล่า?
    โดยพื้นฐานแล้ว เกาหลีเหนือใช้อินเทอร์เน็ตแทบจะเฉพาะเพื่อหารายได้จากการฉ้อโกงหรือการละเมิดมาตรการคว่ำบาตรเท่านั้น ไม่ให้ประชาชนใช้เพื่อจุดประสงค์อื่น และยังห้ามออกนอกประเทศเพราะถ้าออกไปต่างประเทศก็คงไม่กลับมา
    ถ้าจู่ ๆ ตัดอินเทอร์เน็ตทั้งประเทศแม้เพียงชั่วคราว คนทำงานทางไกลที่ถูกจ้างโดยไม่รู้ว่าเป็นชาวเกาหลีเหนือก็น่าจะหายไปพร้อมกัน จนตัวตนถูกเปิดเผย ผมสงสัยว่ามันเป็นไปไม่ได้ในเชิงโลจิสติกส์ หรือทำไม่ได้เพราะพันธมิตรคงยอมรับได้ยากกันแน่

    • คงมีแต่คนอเมริกันเท่านั้นที่คิดเรื่องแบบนี้ได้โดยไม่ใช่มุกตลก สหรัฐฯ ไม่ได้เป็นเจ้าของอินเทอร์เน็ต
    • ทราฟฟิกส่วนใหญ่ของเกาหลีเหนือถูก เราท์ผ่านจีน ดังนั้นในทางปฏิบัติต้องตัดจีนออกจากอินเทอร์เน็ตด้วย สายเคเบิลใต้น้ำที่เชื่อมจีนกับประเทศอื่นมีมากเหลือเกิน เลยดูไม่ค่อยสมจริง
    • คิดว่าเรื่องแบบนี้ทำกันตรง ๆ จากช่วง IP หรือ ASN ของเกาหลีเหนือหรือ? การเชื่อมต่อทางกายภาพส่วนใหญ่อยู่ฝั่งที่สำหรับสหรัฐฯ แล้วเป็น “ศัตรูของศัตรู” จึงไม่มีแรงจูงใจให้ตัด และ การปิดกั้นการเข้าถึงอินเทอร์เน็ตทั้งหมดเป็นไปไม่ได้
    • ตั้งแต่แรกก็รู้อยู่แล้วว่าเจ้าหน้าที่ไซเบอร์ของเกาหลีเหนือจำนวนมากทำงานอยู่ต่างประเทศ คำถามนี้เลยตั้งอยู่บนฐานที่ค่อนข้างอ่อน ในความเป็นจริงพวกเขา อาศัยอยู่ในต่างประเทศ เช่น จีน แล้วสร้างโครงสร้างพื้นฐานแยกต่างหากและรีโมตเข้าไปใช้งาน
    • สมกับเป็นประเทศประชาธิปไตยจริง ๆ แนวคิดแบบว่า มีแต่เราที่มีสิทธิ์ คนอื่นไม่มี
  • บทวิเคราะห์น่าประทับใจ แต่ผมพลาดส่วนที่เป็น การฟอกเงิน ไปหรือเปล่า? การฟอกเงินคือการสร้างคำอธิบายว่าเงินนั้นสะอาด ไม่ใช่การซ่อนเหตุผลว่าทำไมมันอาจสกปรก

    • โลกคริปโตส่วนใหญ่ ถือว่าสะอาดโดยปริยาย แล้วจัดการด้วยบัญชีดำ ดังนั้นหลายกรณีจึงไม่จำเป็นต้องฟอกให้หมดจดจริง ๆ
  • สหรัฐฯ/แคนาดา ปี 2024 หน่วยงานกำกับดูแลสหรัฐฯ ปรับ 3 พันล้านดอลลาร์ https://rupakghose.substack.com/p/td-banks-aml-issues-and-fi...
    จากการสอบสวนของ DoJ ระบุว่า ระหว่างปี 2016~2021 รายได้จากการขายเฟนทานิลในสหรัฐฯ มากกว่า 650 ล้านดอลลาร์ถูกฟอกผ่านบริการธนาคารให้แก่องค์กรอาชญากรรมจีนและผู้ค้ายา
    แคนาดา ปี 2018 https://news.ycombinator.com/item?id=33918115
    รายงานพิเศษของรัฐบาลท้องถิ่น 2 ฉบับระบุว่า เงินฟอกที่คาดว่าหลั่งไหลเข้าสู่อสังหาริมทรัพย์ในบริติชโคลัมเบียในปี 2018 มูลค่า 5.3 พันล้านดอลลาร์ ทำให้ราคาบ้านสูงขึ้น 5%
    ออสเตรเลีย ปี 2015 https://www.macrobusiness.com.au/2015/06/stop-money-launderi...
    Credit Suisse ประเมินว่าในช่วง 6 ปีที่ผ่านมา เงินทุนจากจีนประมาณ 28 พันล้านดอลลาร์ถูกลงทุนในตลาดที่อยู่อาศัยของออสเตรเลีย

    • มีหลักฐานอะไรให้มองว่าเงินลงทุนในออสเตรเลียเกี่ยวข้องกับ การฟอกเงินหรือการขายยาเสพติด หรือไม่?
    • การสอบสวนของ DoJ ระบุว่าบริการธนาคารถูกใช้เพื่อฟอกเงินรายได้จากการขายเฟนทานิลในสหรัฐฯ มากกว่า 650 ล้านดอลลาร์ระหว่างปี 2016~2021 ให้แก่องค์กรอาชญากรรมจีนและผู้ค้ายา และจากข้อมูลลักษณะคล้าย World Factbook อย่างเป็นทางการของ CIA คาดว่า 3~5% ของ GDP โลกเชื่อมโยงกับกิจกรรมอาชญากรรม
      บล็อกเชนนั้นดีตรงที่สามารถติดตามกระบวนการฟอกเงินได้ แถมยังทำโพสต์บล็อกที่มีกราฟสวย ๆ ได้ด้วย ผมชอบจุดนั้น ในทางกลับกัน ธนาคารแบบเดิมทั้งหมดทึบแสง
      แต่เงินที่ถูกฟอกผ่านคริปโตเป็นแค่น้ำหยดเดียวเมื่อเทียบกับขนาดกิจกรรมอาชญากรรมทั่วโลก กิจกรรมอาชญากรรมมีมาก่อนบล็อกเชนหลายร้อย หลายพันปี
      แถมยังไม่อยากพูดถึงเงินหลายหมื่นล้านดอลลาร์ที่หายไปตอนถูกส่งไปในนาม “ความช่วยเหลือ” ไม่ว่าจะยูเครน เฮติ หรือที่ไหนก็ตาม ทุกขั้นตอนมีเจ้าหน้าที่และบุคคลที่ทุจริตอยู่
      ตัวอย่างที่ผมชอบที่สุดคือ สหรัฐฯ ส่งเงินสดธนบัตร 100 ดอลลาร์มูลค่า 12 พันล้านดอลลาร์ ใส่เครื่อง 747 ไปเพื่อ “ช่วยฟื้นฟูอิรัก” แล้วในนั้น 9 พันล้านดอลลาร์ถูกบันทึกอย่างเป็นทางการว่า “สูญหาย” ใช่ สูญหาย มีบันทึกอย่างเป็นทางการ
      ดังนั้นเงิน 200 ล้านดอลลาร์ของกลุ่ม Lazarus เทียบกับธนบัตร 100 ดอลลาร์จำนวน 9 พันล้านดอลลาร์แล้ว ก็ยังไม่ถึงขั้นต้องร้องไห้
    • ปัญหาของ “การฟอกเงิน” คือทฤษฎีกับวิธีทำงานจริงนั้นตรงกันข้ามกันโดยสิ้นเชิง
      ตามทฤษฎีคือทำให้การซ่อนที่มาของรายได้จากอาชญากรรมเป็นสิ่งผิดกฎหมาย เพื่อให้สามารถตั้งข้อหาฟอกเงินได้แม้พิสูจน์อาชญากรรมต้นทางไม่ได้ ตั้งแต่ตรงนี้ก็ชวนสงสัยพอสมควรแล้ว คล้ายกับความพยายามของรัฐบาลที่จะเลี่ยงภาระการพิสูจน์ความผิดของอาชญากรรมต้นทาง
      แต่เรื่องนี้ก็ยังใช้ไม่ได้ผลดีอยู่ดี อาชญากรตั้งธุรกิจถูกกฎหมายเป็นฉากหน้า แล้วอ้างว่าเงินมาจากตรงนั้น ถ้าจะพิสูจน์ในทางกลับกัน สุดท้ายก็ต้องเปิดโปงอาชญากรรมต้นทางอยู่ดี
      ในความเป็นจริง ข้อหาฟอกเงินมักถูกใส่ในสองกรณี กรณีหนึ่งคือหลังจากพิสูจน์อาชญากรรมต้นทางได้แล้ว ก็เพิ่มข้อหาฟอกเงินเข้าไปโดยไม่จำเป็น อีกกรณีคือคนบริสุทธิ์ที่ไม่ใช่อาชญากรมืออาชีพและไม่รู้กฎหมายดี ถูกเล่นงานฐานฟอกเงินทางเทคนิคทั้งที่ไม่ได้ทำอะไรผิดมากนัก หรือพฤติกรรมทั่วไปที่ไม่เป็นอันตรายไปติดกฎ หรือถูก AI ตรวจผิดแบบมั่ว ๆ จนถูกฟ้องหรือถูกไล่ออกจากระบบธนาคาร
      ในทางกลับกัน องค์กรอาชญากรรมขนาดใหญ่รู้วิธีทำให้ธุรกรรมดูเหมือนธุรกรรมปกติ และรัฐบาลก็ดุธนาคารว่าจับไม่ได้ แต่จากมุมของธนาคาร เมื่อองค์กรอาชญากรรมปลอมให้เหมือนธุรกรรมปกติแล้ว แทบไม่มีวิธีจับได้จริง ๆ
      กฎหมายนี้เป็นกฎหมายโง่ ๆ ที่ให้โทษมากกว่าประโยชน์ ยกเลิกไปแล้วตั้งข้อหาอาชญากรด้วยความผิดจริงจะดีกว่า
    • ออสเตรเลียกำลังจะ “แก้” เรื่องนี้ในไม่ช้า เพราะร่าง Communications Legislation Amendment (Combatting Misinformation and Disinformation) Bill ปี 2024 จะทำให้ การบั่นทอนความเชื่อมั่นสาธารณะต่อระบบธนาคารหรือตลาดการเงิน กลายเป็น “ความเสียหายร้ายแรง”
      แน่นอนว่าในที่นี้ “แก้” หมายถึง “ห้ามไม่ให้พูดเรื่องนั้น”
    • ในแคนาดา นี่เป็นอีกเหตุผลหนึ่งที่ควรให้ เฉพาะพลเมืองแคนาดาเท่านั้นเป็นเจ้าของอสังหาริมทรัพย์ ได้
  • ถ้าท้ายที่สุดคริปโตทั้งหมดไหลไปที่ Paxful/Noones แล้วถูกแปลงเป็นเงินสกุลทางการที่นั่น ก็น่าจะค่อนข้างง่ายไม่ใช่หรือที่จะใช้หมายเรียกขอข้อมูลบัญชีเงินสกุลทางการทั้งหมดจากบริษัทเหล่านั้น?

  • บริการเหล่านี้จำนวนมากตอนนี้ไม่มีอยู่แล้ว หรือมีความปลอดภัยเข้มงวดขึ้น เช่น ChipMixer หายไปแล้ว มีการคว่ำบาตร Tornado Cash, การเพิ่มความเข้มงวด KYC และการวิเคราะห์บนเชนที่ดีขึ้น

    • KYC สำหรับคนที่ไม่คุ้นกับคำย่อคือ Know Your Customer หรือกระบวนการรู้จักและตรวจสอบตัวตนลูกค้า
  • ขอถามเพราะสงสัยว่า อินสแตนซ์ MetaMask บนอุปกรณ์หนึ่ง ๆ ถูกเปลี่ยนเป็นเวอร์ชันอันตรายที่ถูกแก้ไขได้อย่างไร? เรื่องแบบนั้นทำงานยังไงกันแน่?

    • โดยพื้นฐานแล้วต้องได้ remote shell ก่อน จากนั้นจึงแทนที่ซอร์สของส่วนขยายด้วยเวอร์ชันที่แก้ไขแล้วได้
      บทความนี้อธิบายลงลึกได้ดีขึ้น https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is...
  • โชคดีที่มีคริปโต ไม่อย่างนั้นเราคงไม่มีทางรู้เรื่องแบบนี้เลย

    • ใช่ ไม่อย่างนั้นเราคงถือแค่ พันธบัตรรัฐบาล กระจอก ๆ อย่างสบายใจไปแล้ว
  • หวังว่า ZachXBT จะได้รับค่าตอบแทนคุ้มกับความพยายามที่เขาใช้ในการจับพวกมิจฉาชีพ ไม่ค่อยแน่ใจว่าเขาหารายได้อย่างไร

    • เท่าที่รู้ เขาได้รับค่อนข้างดีจากเงินสนับสนุนหลายแหล่งและผู้สนับสนุนรายบุคคล