朝鲜黑客已经开始洗钱从Bybit窃取的资金,区块链情报公司Elliptic跟踪了超过1.4亿美元的初始交易,旨在掩盖资金轨迹。
被盗资金正有系统地通过匿名交易所转移,然后兑换成BTC,这种做法使得追踪和收回资产更加困难,该公司在周六的一篇博客文章中写道。
"洗钱过程的第二步是'分层'被盗资金,试图掩盖交易痕迹,"Elliptic写道。"这一交易痕迹可以被追踪,但这些分层策略可能会使追踪过程复杂化,为洗钱者争取到兑现资产的宝贵时间。"
这次14.6亿美元的社会工程攻击主要针对ETH,是加密货币历史上最大的一次盗窃事件,超过了2021年从Poly Network盗取的6.11亿美元。
Elliptic和Arkham Intelligence已将此次攻击归咎于朝鲜的Lazarus集团,原因是使用了去中心化交易所和其他服务,包括跨链桥梁和币币兑换服务,试图掩盖踪迹。
"如果遵循以前的洗钱模式,我们可能会看到下一步使用混合器进一步模糊交易痕迹,"它说。但由于"被盗资产的巨大数量",这可能会很有挑战性。
在盗窃发生后的几个小时内,攻击者将被盗资产分散到50个不同的钱包,每个钱包持有约10,000个ETH。这些资金现正有系统地被清空并兑换成BTC,据Elliptic报道。
攻击者首先使用去中心化交易所将被盗代币如stETH和cmETH兑换成ETH,可能是为了避免资产被冻结。
这与Lazarus集团典型的洗钱手法一致,即先将被盗代币兑换成"原生"区块链资产,然后进一步掩盖痕迹,Elliptic写道。
到目前为止,该集团自2017年以来已经盗取了超过30亿美元的加密资产,据联合国去年的一份报告称,这些资金据称用于资助朝鲜的弹道导弹计划,但Elliptic认为这一数字可能更高。
由于周日的这次盗窃,Bybit现在正面临用户提款的压力,Arkham Intelligence的数据显示,自此以来已有约23,000个BTC从Bybit的热钱包中提取。
该交易所的主要钱包显示,其BTC余额已从70,000个BTC下降到52,000个BTC左右,表明自周五下午以来流出了约17亿美元。
进一步分析显示,Bybit在各种加密货币上的流出总额达到60亿美元。
Elliptic和其他人,包括ZachXBT,也指出匿名加密交易所eXch已经处理了"数千万美元"的被盗资产,尽管Bybit直接要求阻止这一活动。
"被盗的ETH正在稳步兑换成BTC,使用eXch和其他服务,"Elliptic在周日写道。
eXch在周六发布的一封所谓的电子邮件回应,被Elliptic引用,声称该加密交易所选择不承认Bybit的请求,理由是后者过去一直在"直接攻击"前者的声誉。
"我们很难理解'来自一个一直在破坏我们声誉的组织'的合作期望,"eXch的电子邮件写道。
该交易所尚未回复Decrypt的置评请求。
在周日的一篇比特币论坛帖子中,eXch声称被指控为Lazarus/DPRK洗钱的说法是不实的。
"我们没有为Lazarus/DPRK洗钱,"eXch写道,称这种指控是"一些希望去中心化币种的可替代性和链上隐私消失的人的观点"。
