Hackeri nord-coreeni au transferat 3,2 milioane de dolari din fonduri furate

Investigatori criptografici trag semnale de alarmă după ce 3,2 milioane de dolari au fost sustrase din mai multe portofele Solana pe 16 mai 2025, pe care ei le consideră având semnele caracteristice ale grupului Lazarus legat de Coreea de Nord. Activele furate au fost vândute rapid on-chain și transferate în Ethereum înainte ca o parte din ele să fie spălate prin Tornado Cash.

Pe 16 mai, adresele Solana ale victimei au fost golite de tokenuri, iar activele au fost apoi convertite în Ethereum printr-un pod înainte ca o parte din ele să fie depuse în Tornado Cash.

Cercetătorul blockchain ZachXBT a semnalat public exploatarea, trăgând paralele cu activitatea anterioară a grupului Lazarus.

Hackerii au traversat fondurile furate

Cercetătorii blockchain au ridicat primul alarmă după ce au observat transferuri mari din adresa „C4WY…e525” pe Solana.

Aceste tranzacții, legate de grupul cunoscut ca Lazarus, au implicat mutarea tokenilor furate printr-un pod și convertirea lor în Ethereum. ZachXBT a semnalat atacul monitorizând activitatea podului și urmărind fondurile care au ajuns într-un lanț de portofele pe Ethereum.

În 25 iunie și din nou pe 27 iunie, au fost trimiși 400 ETH în Tornado Cash în două depozite separate. Aceste tranzacții de 800 ETH, în valoare totală de aproximativ 1,6 milion de dolari, corespund tacticilor bine documentate de spălare a fondurilor utilizate de grupul Lazarus.

După atacuri de mare notorietate precum cel de la Bybit, unde au fost furate 1,5 miliarde de dolari în februarie 2025, și 100 de milioane de dolari de la podul Horizon al Harmony în 2022, printre altele, Lazarus a folosit repetat Tornado Cash, împreună cu schimbători descentralizați și poduri cross-chain, pentru a spăla fondurile prin îngroșarea urmelor tranzacțiilor.

Aproximativ 1,25 milion de dolari încă se află într-un adresă de portofel identificată ca „0xa5…d528” pe Ethereum, păstrată într-o combinație de DAI și ETH. Analistii speculează că aceste fonduri ar putea fi păstrate pentru o spălare ulterioară sau ar putea fi ținute intenționat inactive pentru a reduce riscul de detectare.

Grupul Lazarus a fost activ din 2017

Grupul Lazarus și-a câștigat renumele de cel mai prolific organism de crimă cibernetică legat de stat, cu sancțiuni din partea Coreei de Nord care îl marchează ca amenințare avansată și persistentă legată de unitățile de inteligență militară elite din Pyongyang. În timp, au furat miliarde în criptomonedă din 2017.

Modus operandi-ul lor începe adesea cu infiltrarea prin phishing sau malware a personalului cheie, exploatarea vulnerabilităților contractelor inteligente sau a portofelului. Odată obținute fondurile, acestea sunt rapid convertite în active lichide, împărțite între mai multe portofele și spălate pe lanțuri folosind mixere precum Tornado Cash și servicii care oferă schimburi imediate fără cerințe de cunoaștere a clientului (KYC).

Tornado Cash rămâne centrală în strategia de spălare a Lazarus. Deși sancțiunile americane au fost impuse în 2022, gazdarea descentralizată și imutabilitatea au permis serviciului să evite o închidere definitivă. În ianuarie 2025, un tribunal american de apel a anulat aceste sancțiuni, invocând considerente legate de libertatea de exprimare, în ciuda evidențelor crescânde care leagă Lazarus de utilizarea continuă a mixerelor.

Reglementatorii și burselor ar putea lua măsuri pentru a marca adresele semnalate ca suspecte. Cu toate acestea, datorită vitezei și complexității pipeline-ului de spălare al Lazarus, serviciile de amestec continuă să fie suficiente pentru a ascunde mișcarea fondurilor furate.

Actualitățile tale cripto merită atenție - KEY Difference Wire te plasează pe peste 250 de site-uri importante