Специалисты компании Elliptic заявили, что за атакой на кроссчейн-мост Horizon может стоять связанная с Северной Кореей хакерская группировка Lazarus.
There are strong indications that North Korea’s Lazarus Group may be responsible for the $100 million Harmony heist | 41% of the stolen cryptoassets have been moved through the Tornado Cash mixer | Read our analysis:https://t.co/CoS2Ozu0WG
— elliptic (@elliptic) June 29, 2022По данным аналитиков, хакеры уже отправили 41% украденных криптоактивов на Tornado Cash для отмывания средств. На момент подготовки отчета злоумышленники перевели на миксер более 35 000 ЕТН.
Перед этим хакеры вывели похищенные активы на децентрализованную биржу Uniswap и конвертировали их в 85 837 ETH. В Elliptic отметили, что это довольно распространенный метод отмывания украденных средств.
Аналитики выделили несколько причин, указывающих на то, что за взломом стояла северокорейская Lazarus.
Они указали, что активы переводили на Tornado Cash с регулярностью, позволяющую предположить задействованность некого автоматизированного ПО. Похожую систему специалисты наблюдали в ходе отмывания средств, похищенных в ходе атаки на сайдчейн Ronin. Предположительно за ней также стоят хакеры Lazarus.
Кражу совершили путем компрометации закрытых ключей к мультисиг-кошельку, — вероятно, посредством атаки социальной инженерии на членов команды Harmony. Такие методы часто использовались Lazarus Group, отметили в Elliptic.
Кроме того, Lazarus Group часто нацелены на жертв в Азиатско-Тихоокеанском регионе, говорят аналитики. Многие члены основной команды Harmony имеют связи с этим регионом.
Напомним, 24 июня блокчейн-платформа Harmony сообщила об атаке на кроссчейн-мост Horizon, в результате которой злоумышленники похитили активы на сумму около $100 млн. Позже команда Harmony предложила награду в размере $1 млн за возврат украденных средств.
Власти США выпустили предупреждение об угрозах северокорейских хакеров, нацеленных на кражу криптовалют.