朝鲜黑客组织Lazarus最近似乎加大了行动力度,自6月3日以来已确认对加密货币实体发动了四次攻击。现在,他们被怀疑实施了第五次攻击,这次是在9月12日针对CoinEx实施的。对此,CoinEx发布了几条推文,表示可疑的钱包地址仍在确认中,因此被盗资金的总价值尚不清楚,但目前相信约为5400万美元。
在过去的104天里,Lazarus已被确认从AtomicWallet(1亿美元)、CoinsPaid(3730万美元)、Alphapo(6000万美元)和Stake.com(4100万美元)窃取了近2.4亿美元的加密资产。
最近的拉扎罗斯攻击
如上图所示,安全机构依利浦(Elliptic)分析证实,从CoinEx盗取的部分资金被发送到一个地址,该地址被Lazarus集团用来清洗从Stake.com盗取的资金,尽管是在不同的区块链上。之后,这些资金被桥接到以太坊上,使用的是Lazarus以前使用过的桥接器,然后又被发送回一个已知由CoinEx黑客控制的地址。依利浦曾观察到Lazarus将来自不同黑客的资金混合在一起的情况,最近一次是从Stake.com盗取的资金与从AtomicWallet盗取的资金重叠。这些来自不同黑客的资金被合并的情况在下图中以橙色表示。
鉴于这种区块链活动,并且没有信息表明CoinEx黑客攻击是由任何其他威胁组织进行的,依利浦同意Lazarus集团应被怀疑盗窃了CoinEx的资金。
104天内的五次Lazarus攻击
2022年,几起备受瞩目的黑客攻击事件被认为是Lazarus所为,其中包括Harmony的Horizon桥接器和AxieInfinity的Ronin桥接器,这两起事件都发生在去年上半年。从那时起到今年6月,没有任何重大的加密劫案被公开归咎于Lazarus。因此,过去104天内发生的各种黑客事件表明,朝鲜威胁组织的活动有所加强。
2023年6月3日,非托管去中心化加密货币钱包AtomicWallet的用户损失超过1亿美元。2023年6月6日,依利浦在确定了表明朝鲜威胁组织应对此负责的多种因素后,将此次黑客攻击归咎于Lazarus。这一归因后来得到了联邦调查局的证实。
2023年7月22日,Lazarus通过一次成功的社交工程攻击,获得了属于加密货币支付平台CoinsPaid的热钱包的访问权限。这次访问允许攻击者创建授权请求,从该平台的热钱包中提取约3730万美元的加密资产。7月26日,CoinsPaid发布了一份报告,声称Lazarus应对此次攻击负责。联邦调查局随后证实了这一归因。
同一天,即7月22日,Lazarus发起了另一次备受瞩目的攻击,这次是针对集中式加密支付提供商Alphapo,窃取了6000万美元的加密资产。攻击者可能是通过之前泄露的私钥获得了访问权限。如上所述,联邦调查局后来将这次攻击归咎于Lazarus。
2023年9月4日,在线加密货币赌场Stake.com遭到攻击,约4100万美元的虚拟货币被盗,这可能是私钥被盗的结果。联邦调查局于9月6日发布新闻稿,证实拉扎罗斯组织是这次攻击的幕后黑手。
最后,2023年9月12日,中心化加密货币交易所CoinEx遭黑客攻击,5400万美元被盗。如上文详述,许多因素表明,Lazarus应对此次攻击负责。
改变策略?
对Lazarus最新活动的分析表明,自去年以来,他们已将重点从去中心化服务转向中心化服务。在之前讨论过的最近五次黑客攻击中,有四次是针对集中式虚拟资产服务提供商的。在去中心化金融(DeFi)生态系统迅速崛起之前,中心化交易所曾是Lazarus在2020年之前的首选目标。
Lazarus的注意力再次转移到中心化服务上可能有多种原因。
更加注重安全性:依利浦之前对2022年DeFi黑客事件的研究发现,每四天就会发生一起漏洞利用事件,每次平均窃取3260万美元。跨链桥接器在2022年初还是一种相对较新的服务形式,但现在已成为DeFi协议中最常被黑的几种类型。这些趋势很可能促使智能合约审计和开发标准得到改进,从而缩小了黑客识别和利用漏洞的范围。
易受社交工程影响:在许多黑客攻击中,Lazarus集团选择的攻击方法是社会工程学。例如,RoninBridge价值5.4亿美元的黑客攻击事件就是由于LinkedIn上的虚假招聘信息造成的。尽管如此,去中心化服务通常拥有较小的员工队伍,而且顾名思义,在不同程度上是去中心化的。因此,获得开发人员的恶意访问权限并不一定等同于获得智能合约的管理访问权限。
与此同时,集中式交易所的员工人数可能会更多,从而扩大了可能的目标范围。它们还可能使用集中的内部信息技术系统进行操作,从而使Lazarus恶意软件有更大的机会渗透到其业务的预期功能中。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】