Các hacker liên quan đến Triều Tiên đang gia tăng các cuộc tấn công vào lĩnh vực tiền điện tử, với các cuộc điều tra gần đây cho thấy các phương thức đang phát triển của Nhóm Lazarus.
Nhà phân tích on-chain ZachXBT đã tiết lộ một loạt các sự cố liên quan đến các hoạt động mạng của chế độ này. Các sự cố này bao gồm việc sử dụng hồ sơ nhà phát triển giả và các chiến lược rửa tiền phức tạp.
Các Hacker Lazarus Đánh Cắp Hàng Triệu Đô La Khi Triều Tiên Gia Tăng Các Cuộc Tấn Công Tiền Điện Tử
Vào ngày 29 tháng 6, Zachxbt đã báo cáo rằng Nhóm Lazarus đã lừa một người dùng 3,2 triệu đô la tài sản kỹ thuật số vào ngày 16 tháng 5.
Các quỹ bị đánh cắp đã nhanh chóng được chuyển đổi từ Solana sang Ethereum. Sau đó, hacker đã gửi 800 ETH vào Tornado Cash, một giao thức bảo mật che giấu các giao dịch tiền điện tử.
Bản đồ giao dịch của các đối tượng Triều Tiên. Nguồn: ZachXBTTại thời điểm báo cáo, ước tính 1,25 triệu đô la vẫn còn trong một ví Ethereum chứa DAI và ETH.
Trong khi đó, vụ tấn công này chỉ là một trong số các hoạt động của Nhóm Lazarus, nhắm vào các tài sản tiền điện tử có giá trị cao ngày càng nhiều.
Vào ngày 27 tháng 6, ZachXBT đã liên kết nhóm này với một vụ khai thác đáng kể ảnh hưởng đến nhiều dự án NFT liên quan đến Matt Furie, người sáng tạo Pepe. Vụ tấn công cũng ảnh hưởng đến các dự án như ChainSaw và Favrr.
Loạt vụ tấn công này, bắt đầu từ ngày 18 tháng 6, đã cho phép các hacker kiểm soát một số hợp đồng NFT. Sau đó, họ mint và xả NFT, ước tính đánh cắp 1 triệu đô la từ các dự án này.
Cuộc điều tra của ZachXBT cho thấy các hacker đã di chuyển các quỹ bị đánh cắp qua ba ví. Cuối cùng, họ chuyển đổi một số ETH thành stablecoin và chuyển chúng đến MEXC, một sàn tập trung (CEX).
Trong khi đó, mẫu chuyển stablecoin, được liên kết với một địa chỉ gửi MEXC cụ thể, cho thấy những kẻ tấn công đã tham gia vào nhiều dự án tiền điện tử.
Hơn nữa, phân tích đã phát hiện ra các liên kết với các tài khoản GitHub có cài đặt ngôn ngữ tiếng Hàn và múi giờ phù hợp với hoạt động của Triều Tiên.
"Các chỉ báo khác được tiết lộ từ các nhật ký nội bộ cho thấy những bất thường trong sơ yếu lý lịch của một nhân viên CNTT bị nghi ngờ của DPRK. Tại sao một nhà phát triển tuyên bố đang sống ở Mỹ lại có cài đặt ngôn ngữ tiếng Hàn, sử dụng Astral VPN và có múi giờ Châu Á/Nga?", ZachXBT tự hỏi.
Trong trường hợp của Favrr, các điều tra viên nghi ngờ giám đốc công nghệ của dự án, Alex Hong, là một nhân viên CNTT của Triều Tiên. ZachXBT cũng báo cáo rằng hồ sơ LinkedIn của Hong đã bị xóa gần đây và lịch sử công việc của anh ấy không thể được xác minh.
Quả thực, những sự cố này làm nổi bật vai trò liên tục của Triều Tiên trong việc đánh cắp tiền điện tử. Công ty phân tích blockchain TRM Labs gần đây đã liên kết các hacker của quốc gia này với gần 1,6 tỷ đô la tiền bị đánh cắp, chiếm khoảng 70% tổng số tài sản tiền điện tử bị đánh cắp trong năm nay.
