朝鲜黑客组织 Lazarus 最近似乎加大了行动力度,自 6 月 3 日以来已确认对加密货币实体发动了四次攻击。现在,他们被怀疑实施了第五次攻击,这次是在 9 月 12 日针对 CoinEx 实施的。 对此,CoinEx 发布了几条推文,表示可疑的钱包地址仍在确认中,因此被盗资金的总价值尚不清楚,但目前相信约为 5400 万美元。4 U; L1 j" j3 t9 h4 R
& `. L% i) @6 f
: E! i: [" C3 e; G2 j* H4 M
+ l6 q. D2 }* ^
在过去的 104 天里,Lazarus 已被确认从 Atomic Wallet(1 亿美元)、CoinsPaid(3730 万美元)、Alphapo(6000 万美元)和 Stake.com(4100 万美元)窃取了近 2.4 亿美元的加密资产。" E( N. k( I* T( m4 E
& K+ M7 p2 U" O8 s7 l' W& d
$ r: j) E! }4 i* c7 w
' I! j3 u( N- l c
最近的拉扎罗斯攻击
' Z6 V8 x2 P7 h$ d3 e' Z. g; d8 o: p0 W5 N6 Y
如上图所示,安全机构依利浦(Elliptic)分析证实,从 CoinEx 盗取的部分资金被发送到一个地址,该地址被 Lazarus 集团用来清洗从 Stake.com 盗取的资金,尽管是在不同的区块链上。之后,这些资金被桥接到以太坊上,使用的是 Lazarus 以前使用过的桥接器,然后又被发送回一个已知由 CoinEx 黑客控制的地址。依利浦曾观察到 Lazarus 将来自不同黑客的资金混合在一起的情况,最近一次是从 Stake.com 盗取的资金与从 Atomic Wallet 盗取的资金重叠。这些来自不同黑客的资金被合并的情况在下图中以橙色表示。! u' I6 U6 o3 |- k, ?% o$ ^
8 I( c- I# |' p# }3 w1 T) g2 ^鉴于这种区块链活动,并且没有信息表明 CoinEx 黑客攻击是由任何其他威胁组织进行的,依利浦同意 Lazarus 集团应被怀疑盗窃了 CoinEx 的资金。' D+ P8 c7 b, K# v
6 H0 x3 L F2 ]5 A/ w6 G# d. J2 f. Q: o1 M& V: ~+ [: u+ L: n
$ a0 Y' u+ Y1 ~
104 天内的五次 Lazarus 攻击+ ]- h3 A, i+ J+ U9 D
1 ?9 X% S# Y0 `: z# D* ]2 f2022 年,几起备受瞩目的黑客攻击事件被认为是 Lazarus 所为,其中包括 Harmony 的 Horizon 桥接器和 Axie Infinity 的 Ronin 桥接器,这两起事件都发生在去年上半年。从那时起到今年 6 月,没有任何重大的加密劫案被公开归咎于 Lazarus。因此,过去 104 天内发生的各种黑客事件表明,朝鲜威胁组织的活动有所加强。
/ j; ~+ M4 O3 A5 M- }1 p& m$ S5 W$ M3 G( @9 o
2023 年 6 月 3 日,非托管去中心化加密货币钱包 Atomic Wallet 的用户损失超过 1 亿美元。2023 年 6 月 6 日,依利浦在确定了表明朝鲜威胁组织应对此负责的多种因素后,将此次黑客攻击归咎于 Lazarus。这一归因后来得到了联邦调查局的证实。# x$ f5 I6 s, q
. N. P% }: ^% ?2023 年 7 月 22 日,Lazarus 通过一次成功的社交工程攻击,获得了属于加密货币支付平台 CoinsPaid 的热钱包的访问权限。这次访问允许攻击者创建授权请求,从该平台的热钱包中提取约 3730 万美元的加密资产。7 月 26 日,CoinsPaid 发布了一份报告,声称 Lazarus 应对此次攻击负责。联邦调查局随后证实了这一归因。
9 @/ b: N- G8 x9 b! N5 c d
" H1 X- Y$ c9 i- k同一天,即 7 月 22 日,Lazarus 发起了另一次备受瞩目的攻击,这次是针对集中式加密支付提供商 Alphapo,窃取了 6000 万美元的加密资产。攻击者可能是通过之前泄露的私钥获得了访问权限。如上所述,联邦调查局后来将这次攻击归咎于 Lazarus。5 h9 S9 @1 R7 @9 a
9 W& d$ x4 L- b; V0 C3 ]2023 年 9 月 4 日,在线加密货币赌场 Stake.com 遭到攻击,约 4100 万美元的虚拟货币被盗,这可能是私钥被盗的结果。联邦调查局于 9 月 6 日发布新闻稿,证实拉扎罗斯组织是这次攻击的幕后黑手。5 v6 ~0 z/ u# b9 X" F8 |
' P& f, V( F7 _" ~% L3 K
最后,2023 年 9 月 12 日,中心化加密货币交易所 CoinEx 遭黑客攻击,5400 万美元被盗。如上文详述,许多因素表明,Lazarus 应对此次攻击负责。* j7 x# W& u$ b! x0 Y
0 ]' Q9 S6 c! m) H% ?. d( _
改变策略?
: _3 _4 r9 I( x# U/ D+ Y8 k" T4 A7 g$ |6 I0 i- I5 Z
对 Lazarus 最新活动的分析表明,自去年以来,他们已将重点从去中心化服务转向中心化服务。在之前讨论过的最近五次黑客攻击中,有四次是针对集中式虚拟资产服务提供商的。在去中心化金融(DeFi)生态系统迅速崛起之前,中心化交易所曾是 Lazarus 在 2020 年之前的首选目标。9 q M: h# {8 W
9 U: n! u% s3 h; E7 F" MLazarus 的注意力再次转移到中心化服务上可能有多种原因。3 c6 K: B( u5 c9 X. f
- E4 w/ C, F6 a/ V% _- A) D
更加注重安全性: 依利浦之前对 2022 年 DeFi 黑客事件的研究发现,每四天就会发生一起漏洞利用事件,每次平均窃取 3260 万美元。跨链桥接器在 2022 年初还是一种相对较新的服务形式,但现在已成为 DeFi 协议中最常被黑的几种类型。这些趋势很可能促使智能合约审计和开发标准得到改进,从而缩小了黑客识别和利用漏洞的范围。3 E: W/ G9 D4 K' E4 K# ]
$ f Y f _3 H( @& F
易受社交工程影响: 在许多黑客攻击中,Lazarus 集团选择的攻击方法是社会工程学。例如,Ronin Bridge 价值 5.4 亿美元的黑客攻击事件就是由于 LinkedIn 上的虚假招聘信息造成的。尽管如此,去中心化服务通常拥有较小的员工队伍,而且顾名思义,在不同程度上是去中心化的。因此,获得开发人员的恶意访问权限并不一定等同于获得智能合约的管理访问权限。8 k% q. y. |( O' `' ]
; m; q) i i/ g4 N与此同时,集中式交易所的员工人数可能会更多,从而扩大了可能的目标范围。它们还可能使用集中的内部信息技术系统进行操作,从而使 Lazarus 恶意软件有更大的机会渗透到其业务的预期功能中。 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡