ZachXBT, prawdopodobnie jeden z najbardziej znanych detektywów on-chain na świecie, właśnie wściekł się na emitenta USDC Circle i jego CEO, Jeremy'ego Allaire'a. Nazwał ich chciwymi i obojętnymi na bezpieczeństwo społeczności kryptowalut. W poście na Twitterze powiedział:

„Pieprzyć Circle! Pieprzyć Jeremy’ego Allaire’a! W ogóle nie obchodzi cię ekosystem, poza wydobywaniem z niego.”

Jego układ? Opóźniona reakcja Circle w kwestii umieszczenia na czarnej liście skradzionych funduszy pochodzących z włamań i exploitów, szczególnie jeśli chodzi o niesławną północnokoreańską grupę Lazarus.

Źródło: ZachXBT

Najwyraźniej Circle potrzebowało 4,5 miesiąca więcej niż innym dużym firmom, takim jak Tether i Paxos, aby zablokować fundusze Lazarus Group po tym, jak grupa ukradła ogromne sumy pieniędzy w wyniku włamań do DeFi.

Zach nie był pod wrażeniem wymówki Circle o sygnalizowaniu cnoty, oskarżając ich o zarabianie na opłatach transakcyjnych, podczas gdy przez ich sieć przepływały skradzione środki.

Fala przestępstw kryptograficznych grupy Lazarus

Grupa Lazarus, znana również jako APT38 lub Bluenoroff, ma powiązania z rządem Korei Północnej od 2009 roku. Zyskała złą sławę dzięki takim atakom hakerskim jak atak na Sony Pictures w 2014 roku i napad na Bangladesh Bank o wartości 81 milionów dolarów w 2016 roku.

Ostatnio jednak byli mocno zaangażowani w przestępstwa związane z kryptowalutami. Od sierpnia 2020 r. do października 2023 r. Lazarus zaatakował wiele firm i osób zajmujących się kryptowalutami, dokonując 25 znanych włamań.

Firmy analityczne TRM i Chainalysis szacują, że od 2017 r. ukradły od 3 do 4,1 miliarda dolarów. Pierzą skradzione kryptowaluty za pomocą Tornado Cash i zamieniają je na walutę fiducjarną na platformach P2P, takich jak Paxful i Noones.

W jednym przypadku, 24 sierpnia 2020 r., z portfeli kanadyjskiej giełdy CoinBerry skradziono 370 000 USD, czyli kryptowalutę Bitcoin i Ethereum.

CoinBerry nie ujawniło publicznie włamania, ale pozew w 2022 r. ujawnił kradzież. Lazarus uderzył również w Unibright we wrześniu 2020 r., kradnąc 400 000 USD po uzyskaniu dostępu do kluczy prywatnych i CoinMetro w październiku 2020 r., gdzie ukradli 750 000 USD.

Skradzione środki Lazarusa zostały przelane za pośrednictwem Tornado Cash.

Na przykład środki pochodzące z włamań na CoinBerry, Unibright i CoinMetro zostały wyśledzone na adresy takie jak 0x0864, ​​gdzie w styczniu 2021 r. wpłacono 3000 ETH na konto Tornado Cash.

Następnie ETH przesyłano w mniejszych kwotach, aby uniknąć wykrycia, a znaczną część prano na platformach P2P, takich jak Paxful i Noones.

W 2021 r. Lazarus zaczął używać Noones, aby kontynuować wypłacanie skradzionych środków. Środki powiązane z kradzieżami Lazarus z tych włamań były nadal przesyłane partiami jeszcze w listopadzie ubiegłego roku.

Paxful i Noones wykorzystywane do prania pieniędzy

Lazarus prał również kryptowaluty, zamieniając je na pieniądze fiducjarne, korzystając z Paxful i Noones, czyli rynków P2P, które pozwalają użytkownikom wymieniać kryptowaluty na gotówkę.

Od lipca 2022 r. zaczęto przesyłać duże kwoty USDT za pośrednictwem Paxful, a w kwietniu 2023 r. rozpoczęto dalsze przelewy za pośrednictwem Noones.

Platformy te pozwoliły im na kontynuowanie wypłaty środków bez przeszkód.

Jeden konkretny przelew z adresu kradzieży 0x0549 wysłał USDT do Paxful i Noones, konsolidując środki z wielu włamań do Lazarus przed ich zamianą na walutę fiducjarną.

Lista ataków hakerskich powiązanych z Lazarusem jest prawdopodobnie zbyt długa. 14 grudnia 2020 r. założyciel Nexus Mutual, Hugh Karp, został oszukany i zatwierdził złośliwą transakcję, która doprowadziła do kradzieży NXM o wartości 8,3 mln USD.

Kilka dni później 137,1 BTC pochodzące z kradzieży zostało wyprane za pośrednictwem ChipMixer, przy czym podobne taktyki zastosowano również w innych atakach hakerskich.

Do 2021 r. Lazarus był również powiązany z EasyFi, Bondly Finance i innymi atakami. W jednym przypadku tokeny EASY o wartości 81 mln USD zostały skradzione z EasyFi po tym, jak urządzenie założyciela Ankitta Gaura zostało naruszone.

14 lipca 2021 r. dyrektorowi generalnemu Bondly Finance, Brandonowi Smithowi, skradziono aktywa o wartości 8,5 mln dolarów, gdy jego hasło odzyskiwania zostało naruszone.

Ponownie skradzione fundusze zostały przelane do Tornado Cash, gdzie zostały zmieszane, a następnie wyprane poprzez wymianę P2P. Schemat działania Lazarus Group jest dość jasny.

Do końca 2023 roku Lazarus Group wyprała miliony pieniędzy za pośrednictwem Paxful i Noones, a duża część z nich przeszła przez sieć Circle, zanim podjęto jakiekolwiek działania.

Łącznie w okresie od lipca 2022 r. do listopada 2023 r. w wyniku ataków hakerskich wyprano 44 mln USD.

Tether ostatecznie zareagował i umieścił 374 000 USDT na czarnej liście w listopadzie 2023 r. Jednak dla wielu osób ze społeczności kryptowalutowej, w tym Zacha, było to za mało i za późno.