史上最猖獗盜幣集團？Lazarus 駭客組織是什麼？3 張圖看懂洗錢招數

先前，路透社取得的聯合國機密報告顯示，北韓駭客集團Lazarus Group去年從加密貨幣交易所竊取資金後，今年3 月透過虛擬貨幣平台Tornado Cash 洗錢1.475 億美元。

監察員在先前提交的一份文件中告訴聯合國安理會制裁委員會，他們一直在調查 2017 年至2024 年間發生的 97 起疑似北韓駭客針對加密貨幣公司的網路攻擊，價值約 36 億美元。其中包括去年年底的攻擊，HTX 加密貨幣交易所的 1.475 億美元被盜，然後在今年 3月完成洗錢。

美國於 2022 年對Tornado Cash 實施制裁，2023 年，其兩名聯合創辦人被指控協助洗錢超過 10億美元，其中包括與北韓有關的網路犯罪組織 Lazarus Group。

根據加密貨幣偵探 ZachXBT 的調查，Lazarus Group 在 2020 年 8 月至 2023 年 10月期間將價值 2 億美元的加密貨幣洗錢為法定貨幣。

在網路安全領域，Lazarus Group 長期以來一直被指控進行大規模的網路攻擊和金融犯罪。他們的目標不僅限於特定行業或地區，而是遍布全球，從銀行系統到加密貨幣交易所，從政府機構到私人企業。接下來，我們將重點分析幾個典型的攻擊案例，揭示 Lazarus Group如何透過其複雜的策略和技術手段，成功實施了這些驚人的攻擊。

LazarusGroup 操縱社會工程和網路釣魚攻擊

這個案例來自歐洲相關媒體報導，Lazarus 先前將歐洲和中東的軍事和航空航太公司作為目標，在 LinkedIn 等平台上發布招聘廣告來欺騙員工，要求求職者下載部署了可執行文件的 PDF ，然後實施釣魚攻擊。

社會工程和網路釣魚攻擊都試圖利用心理操縱來誘騙受害者放鬆警惕，並執行諸如點擊連結或下載檔案之類的行為，從而危及他們的安全。

他們的惡意軟體使特工能夠瞄準受害者系統中的漏洞並竊取敏感資訊。

Lazarus 在針對加密貨幣支付提供商 CoinsPaid 的為期六個月的行動中使用了類似的方法，導致 CoinsPaid被盜 3,700萬美元。

在整個活動過程中，它向工程師發送了虛假的工作機會，發起了分散式阻斷服務等技術攻擊，以及提交許多可能的密碼進行暴力破解。

製造CoinBerry、Unibright等攻擊事件

2020年 8 月 24 日，加拿大加密貨幣交易所 CoinBerry 錢包被偷走。

• 駭客地址：0xA06957c9C8871ff248326A1DA552213AB26A11AE

2020年 9 月 11 日，Unbright 由於私鑰洩露，團隊控制的多個錢包中發生了 40萬美元的未經授權的轉帳。

• 駭客地址：0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020年 10月 6 日，由於安全漏洞，CoinMetro 熱錢包中未經授權轉移了價值 75 萬美元的加密資產。

• 駭客地址：0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

2021 年初，各個攻擊事件的資金匯集到了以下地址：0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021 年 1 月 11 日，0x0864b5 地址在 Tornado Cash 存入了 3,000 以太幣，隨後再次透過 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 地址向 Tornado Cash 存入了 1,800 多枚存入了 1,800 多張。

隨後在 1 月 11 日至 1 月 15 日，陸續從 Tornado Cash 中提取了近 4,500 枚以太幣到 0x05492cbc8fb228103744ecca0df62473b2858810 地址。

到了 2023 年，攻擊者經過多次轉移兌換，最終匯集到了其它安全事件資金歸集提現的地址，根據資金追蹤圖可以看到，攻擊者陸續將盜取的資金發送至 Noones deposit address 以及 Paxful deposit address。

NexusMutual 創辦人（HughKarp）遭駭客攻擊

2020 年 12 月 14 日，Nexus Mutual 創辦人 Hugh Karp 被竊 37 萬 $NXM（830萬美元）。

被盜資金在下面幾個地址之間轉移，並兌換為其它資金。

• 0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
• 0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
• 0x09923e35f19687a524bbca7d42b92b6748534f25
• 0x0784051d5136a5ccb47ddb3a15243890f5268482
• 0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group透過這幾個地址進行了資金混淆、分散、歸集等操作。例如，部分資金透過跨鏈到比特幣鏈上，再透過一系列轉移跨回以太坊鏈上，之後透過混幣平台進行混幣，再將資金發送至提現平台。

2020 年 12 月 16 日至 12 月 20 日，其中一個駭客地址 0x078405 將超 2,500 以太幣發送至 Tornado Cash。幾個小時之後，根據特徵關聯，可以發現 0x78a9903af04c8e887df5290c91917f71ae028137 地址便开始了提款操作。

駭客透過轉移以及兌換，將部分資金轉移至上一個事件涉及的資金歸集提現的地址。

之後，2021 年 5 月至 7 月，攻擊者將 1,100 萬 $USDT 轉入 Bixin deposit address。

2023 年 2 月至 3 月，攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址，將 277 萬 $USDT 送到 Paxful deposit address。

2023 年 4 月至 6 月，攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址，將 840 萬 $USDT 發送到 Noones deposit address。

Steadefi和CoinShift駭客攻擊

Steadefi事件攻擊位址：0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Coinshift事件攻擊地址：0x979ec2af1aa190143d294b0bfc7ec35d169d845c

2023 年 8 月，Steadefi事件的 624 枚被盜以太幣被轉移到 Tornado Cash，同一個月，Coinshift 事件的 900 枚被盜以太幣被轉移到 Tornado Cash。

在轉移以太幣到 Tornado Cash 之後，立即陸續將資金提取到下面地址：

• 0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
• 0x4e75c46c299ddc74bac808a34a778c863bb59a4e
• 0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023 年 10 月 12 日，上述三個地址將從 Tornado Cash 提取的資金都發送到了0x5d65aeb2bd903bee822b7069c1c52de838f11bf8地址上。

2023 年 11 月，0x5d65ae 地址開始轉移資金，最終透過中轉和兌換，將資金發送到了 Paxful deposit address 以及 Noones deposit address。

事件總結

以上介紹了北韓駭客 Lazarus Group 過往幾年的動態，並對其洗錢的方式進行了分析與總結：Lazarus Group 在盜取加密資產後，基本上是透過來回跨鏈再轉入 Tornado Cash 等混幣器的方式進行資金混淆。在混淆之後，Lazarus Group 將被盜資產提取到目標地址並發送到固定的一些地址群進行提現操作。先前被竊的加密資產基本上都是存入 Paxful deposit address 以及 Noones deposit address，然後透過 OTC 服務將加密資產換為法幣。

在 Lazarus Group 連續、大規模的攻擊下，Web3 產業面臨較大的安全挑戰。 Beosin 持續關注該駭客團夥，將對其動態和洗錢方式進行進一步的追踪，幫助專案方、監管與執法部門打擊此類犯罪，並追回被盜資產。

【免責聲明】市場有風險，投資需謹慎。本文不構成投資建議，使用者應考慮本文的任何意見、觀點或結論是否符合其特定狀況。據此投資，責任自負。

• 本文經授權轉載自：《PANews》 
• 原文作者：Beosin