- Lazarus Group กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ ได้แฮ็กบริษัทและบุคคลที่เกี่ยวข้องกับสินทรัพย์ดิจิทัล 25 ราย ระหว่างเดือนสิงหาคม 2020 ถึงตุลาคม 2023 และขโมยเงินรวม 200 ล้านดอลลาร์
- กลุ่มนี้เป็นที่รู้จักจากมัลแวร์ที่ปรับแต่งเฉพาะตามเป้าหมายแต่ละราย
- คาดว่าตั้งแต่ปี 2017 จนถึงปัจจุบัน กลุ่มนี้ขโมยเงินผ่านการแฮ็กสินทรัพย์ดิจิทัลรวม 3-4.1 พันล้านดอลลาร์
- บทความนี้ติดตามเส้นทางการฟอกเงินของพวกเขา และวิเคราะห์กระบวนการเปลี่ยนเงินที่ขโมยมาเป็นเงินสดผ่านตลาดแลกเปลี่ยน P2P อย่าง Paxful และ Noones
เหตุการณ์สำคัญในปี 2020
การแฮ็ก CoinBerry (สิงหาคม)
- CoinBerry ซึ่งเป็นตลาดแลกเปลี่ยนในแคนาดา ถูกขโมย 120 BTC จากบั๊กของซอฟต์แวร์ (มูลค่า 3.7 ล้านดอลลาร์ในขณะนั้น)
การแฮ็ก Unibright (กันยายน)
- สินทรัพย์มูลค่าประมาณ 4 แสนดอลลาร์ถูกโอนออกโดยไม่ได้รับอนุญาตจากกระเป๋าของทีม Unibright หลัง private key รั่วไหล
การแฮ็ก CoinMetro (ตุลาคม)
- สินทรัพย์คริปโตมูลค่า 7.5 แสนดอลลาร์ถูกขโมยจาก hot wallet ของ CoinMetro จากเหตุการณ์ละเมิดความปลอดภัย
- ทีม Parsiq ทำ hard fork ของโทเค็น PRQ เพื่อป้องกันความเสียหายเพิ่มเติม
การแฮ็ก Hugh Karp ผู้ก่อตั้ง Nexus Mutual ในปี 2020 (ธันวาคม)
- ถูกหลอกให้อนุมัติธุรกรรมอันตราย ทำให้ 370,000 NXM (8.3 ล้านดอลลาร์) ถูกขโมยไป
- หลังฝาก 137.1 BTC เข้า Bitcoin mixer อย่าง ChipMixer แล้ว เงินถูกนำกลับเข้าสู่ Ethereum
- นอกจากนี้ยังฝาก 2,571 ETH จาก Ethereum เข้า Tornado Cash แล้วถอนออกทันที
การแฮ็ก Ankitt Gaur ผู้ก่อตั้ง EasyFi ในปี 2021 (เมษายน)
- Ankitt ติดตั้งส่วนขยาย Metamask อันตรายจากอีเมลฟิชชิง ทำให้ private key รั่วไหลและถูกขโมยไป 81 ล้านดอลลาร์
- ฝาก 209.64 BTC เข้า ChipMixer แล้วถอนออกเพื่อนำกลับเข้าสู่ Ethereum ผ่าน Ren Protocol
- เงินถูกฝากเข้า Binance ในเดือนมิถุนายน 2022
การแฮ็ก Bondly Finance ในปี 2021 (กรกฎาคม)
- ทรัพย์สินของทีมมูลค่า 8.5 ล้านดอลลาร์ถูกขโมย หลัง recovery phrase ของ hardware wallet ของ CEO Brandon Smith รั่วไหล
- มีการฟอกเงิน 52 ล้าน DAI, 500 ETH และ 4,800 BNB ผ่าน Tornado Cash บน Ethereum, BSC และ Polygon
การแฮ็กบุคคลทั่วไปที่ไม่มีการรายงานในช่วงสิงหาคม-กันยายน 2021
- ระหว่างเดือนสิงหาคมถึงกันยายน มีบุคคลหลายรายถูกขโมยทรัพย์สินรวมมูลค่า 2 ล้านดอลลาร์จากการรั่วไหลของ private key
- 581 ETH ถูกฝากเข้า Tornado Cash และถอนออกไม่กี่วันต่อมา
การแฮ็ก MGNR และ PolyPlay ในปี 2021 (ตุลาคม)
การแฮ็ก MGNR
- ขณะสมาชิกทีมแชร์คีย์ของ hot wallet ไว้บนพีซีส่วนตัวชั่วคราว สินทรัพย์มูลค่า 24 ล้านดอลลาร์ก็ถูกขโมยไป
- 5,100 ETH ถูกฝากเข้า Tornado Cash แล้วทยอยถอนออกและรวมกับเงินจากการแฮ็กครั้งอื่น
- เงินถูกเปลี่ยนเป็นเงินสดผ่าน Paxful และ Noones
การแฮ็ก PolyPlay
- สินทรัพย์มูลค่า 1.6 ล้านดอลลาร์ถูกโอนออกจากกระเป๋าทีมโดยไม่ได้รับอนุญาต
- 350 ETH ถูกฝากเข้า Tornado Cash แล้วถอนออกก่อนถูกฝากต่อไปยัง Paxful และ Noones
การแฮ็ก bZx ในเดือนพฤศจิกายน 2021
- นักพัฒนารันไฟล์แนบในอีเมลที่มีสคริปต์อันตราย ทำให้ private key รั่วไหล และมีการขโมยเงิน 55 ล้านดอลลาร์จากโปรโตคอลที่ใช้งานบน BSC และ Polygon
- 10,960 ETH ถูกฝากเข้า Tornado Cash แล้วถอนออกก่อนถูกรวมกับเงินจากการแฮ็กครั้งก่อน
การแฮ็ก Steadefi และ Coinshift ในเดือนสิงหาคม 2023
การแฮ็ก Steadefi
- นักพัฒนาเปิดไฟล์พรีเซนเทชันอันตรายที่ได้รับจากบัญชี Telegram ปลอมซึ่งแอบอ้างเป็นบริษัทลงทุน ทำให้กระเป๋าของผู้ deploy ถูกยึด และสิทธิ์ความเป็นเจ้าของ vault สำหรับการกู้ยืมและกลยุทธ์ตกไปอยู่กับแฮ็กเกอร์ มีการขโมยเงินมูลค่า 1.2 ล้านดอลลาร์
- 624.3 ETH ถูกฝากเข้า Tornado Cash
การแฮ็ก Coinshift
- มีการพบการโอนเงินอย่างกะทันหันจากกระเป๋า multisig ที่เชื่อมโยงกับผู้ก่อตั้ง จึงคาดว่า private key รั่วไหล
- 900 ETH ถูกฝากเข้า Tornado Cash
การเปลี่ยนเงินที่ขโมยมาเป็นเงินสดผ่านตลาดแลกเปลี่ยน P2P Paxful และ Noones
- ตั้งแต่เดือนกรกฎาคม 2022 ถึงพฤศจิกายน 2023 มี USDT มูลค่ารวม 44 ล้านดอลลาร์ไหลเข้าสู่ที่อยู่ฝากของ Paxful และ Noones
- สองบัญชีบน Paxful และ Noones แสดงปริมาณธุรกรรมที่สอดคล้องกับขนาดของเงินที่ถูกขโมย
- เนื่องจากไม่พบการถอนคริปโตจากตลาดเหล่านี้ในจำนวนที่สอดคล้องกัน จึงคาดว่า USDT ถูกแลกเป็นเงินโอนผ่านธนาคารหรือเงินสด
ผลการสืบสวน
- ณ เดือนพฤศจิกายน 2023 มี 374,000 USDT ถูกขึ้นบัญชีดำโดย Tether และในไตรมาส 4 ปี 2023 มีเงินจำนวนที่ไม่เปิดเผยถูกอายัดไว้ที่ตลาดแลกเปลี่ยน
- ในบรรดาผู้ออก stablecoin 4 ราย มี 3 รายที่ขึ้นบัญชีดำเงินมูลค่า 3.4 ล้านดอลลาร์
เหตุการณ์อื่นที่เกี่ยวข้อง
- การแฮ็กผู้ใช้ตลาดแลกเปลี่ยนในเดือนมกราคม 2021
- การแฮ็ก Arthur0x ในเดือนมีนาคม 2022
- การแฮ็ก Geracoin และ Darshan ในช่วงกันยายน-ตุลาคม 2022
- การแฮ็กผู้ก่อตั้ง Maverick ในเดือนตุลาคม 2023
ความเห็นของ GN⁺
- จากการเลือกโจมตีโปรโตคอลและบุคคลที่หลากหลาย ก่อนผ่านกระบวนการฟอกเงินที่ซับซ้อน ทำให้คาดว่าเป็นกลุ่มแฮ็กเกอร์ที่มีการจัดตั้งและมีความสามารถทางเทคนิคสูง
- เมื่อกรณีการนำระบบนิเวศสินทรัพย์ดิจิทัลไปใช้ในทางที่ผิดเพิ่มขึ้น จึงจำเป็นต้องเพิ่มความระมัดระวังเรื่องการจัดการ private key และการโจมตีแบบฟิชชิง
- เหตุการณ์นี้แสดงให้เห็นว่า DeFi และ crypto mixer สามารถถูกนำไปใช้ในการฟอกเงินได้ จึงดูเป็นเรื่องเร่งด่วนที่จะต้องมีมาตรการและกฎกำกับดูแล
- เนื่องจากมีความเป็นไปได้ที่รัฐบาลเกาหลีเหนือจะยังคงใช้การแฮ็กสินทรัพย์ดิจิทัลเป็นช่องทางจัดหาเงินทุน จึงจำเป็นต้องมีความร่วมมือระหว่างอุตสาหกรรมและหน่วยงานรัฐ
- โครงการคริปโตและผู้ใช้งานควรเสริมความเข้มงวดในการจัดการกระเป๋าเงิน เช่น การใช้ multisig และ cold wallet รวมถึงระวังอีเมลและไฟล์แนบที่น่าสงสัย
ยังไม่มีความคิดเห็น