此前，路透社獲得的一份聯合國機密報告顯示，朝鮮黑客團伙 Lazarus Group 去年從一家加密貨幣交易所竊取資金后，今年 3 月份通過虛擬貨幣平臺 Tornado Cash 洗錢 1.475 億美元。

監察員在之前提交的一份文件中告訴聯合國安理會制裁委員會，他們一直在調查 2017 年至 2024 年間發生的 97 起疑似朝鮮黑客針對加密貨幣公司的網絡攻擊，價值約 36 億美元。其中包括去年年底的一次攻擊，HTX 加密貨幣交易所的 1.475 億美元被盜，然后在今年 3 月完成洗錢。

美國于 2022 年對 Tornado Cash 實施制裁， 2023 年，其兩名聯合創始人被指控協助洗錢超過 10 億美元，其中包括與朝鮮有關的網絡犯罪組織 Lazarus Group。

根據加密貨幣偵探 ZachXBT 的調查，Lazarus Group 在 2020 年 8 月至 2023 年 10 月期間將價值 2 億美元的加密貨幣洗錢為法定貨幣。

在網絡安全領域，Lazarus Group 長期以來一直被指控進行大規模的網絡攻擊和金融犯罪。他們的目標不僅僅限于特定行業或地區，而是遍布全球，從銀行系統到加密貨幣交易所，從政府機構到私人企業。接下來，我們將重點分析幾個典型的攻擊案例，揭示 Lazarus Group 如何通過其復雜的策略和技術手段，成功實施了這些驚人的攻擊。

Lazarus?Group 操縱社會工程和網絡釣魚攻擊

這個案例來自于歐洲相關媒體報道，Lazarus 此前將歐洲和中東的軍事和航空航天公司作為目標，在 LinkedIn 等平臺上發布招聘廣告來欺騙員工，要求求職者下載部署了可執行文件的 PDF ，然后實施釣魚攻擊。

社會工程和網絡釣魚攻擊都試圖利用心理操縱來誘騙受害者放松警惕，并執行諸如點擊鏈接或下載文件之類的行為，從而危及他們的安全。

他們的惡意軟件使特工能夠瞄準受害者系統中的漏洞并竊取敏感信息。

Lazarus 在針對加密貨幣支付提供商 CoinsPaid 的為期六個月的行動中使用了類似的方法，導致 CoinsPaid 被盜 3700 萬美元。

在整個活動過程中，它向工程師發送了虛假的工作機會，發起了分布式拒絕服務等技術攻擊，以及提交許多可能的密碼進行暴力破解。

制造 CoinBerry、Unibright?等攻擊事件

2020 年 8 月 24 日，加拿大加密貨幣交易所 CoinBerry 錢包被盜。

黑客地址：

0xA06957c9C8871ff248326A1DA552213AB26A11AE

2020 年 9 月 11 日，Unbright 由于私鑰泄露，團隊控制的多個錢包中發生了 40 萬美元的未經授權的轉賬。

黑客地址：

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020 年 10 月 6 日，由于安全漏洞，CoinMetro 熱錢包中未經授權轉移了價值 75 萬美元的加密資產。

黑客地址：

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

2021 年初，各個攻擊事件的資金匯集到了以下地址：

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021 年 1 月 11 日，0x0864b5 地址在 Tornado Cash 存入了 3000ETH，隨后再次通過 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 地址向 Tornado Cash 存入了 1800 多枚 ETH。

隨后在 1 月 11 日至 1 月 15 日，陸續從 Tornado Cash 中提取了近 4500 枚 ETH 到 0x05492cbc8fb228103744ecca0df62473b2858810 地址。

到 2023 年，攻擊者經過多次轉移兌換，最終匯集到了其他安全事件資金歸集提現的地址，根據資金追蹤圖可以看到，攻擊者陸續將盜取的資金發送至 Noones deposit address 以及 Paxful deposit address。

Nexus?Mutual?創始人?(Hugh?Karp)?遭黑客攻擊

2020 年 12 月 14 日，Nexus Mutual 創始人 Hugh Karp 被盜 37 萬 NXM（830 萬美元）。

被盜資金在下面幾個地址之間轉移，并且兌換為其他資金。

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group 通過這幾個地址進行了資金混淆、分散、歸集等操作。例如，部分資金通過跨鏈到比特幣鏈上，再通過一系列轉移跨回以太坊鏈上，之后通過混幣平臺進行混幣，再將資金發送至提現平臺。

2020 年 12 月 16 日 -12 月 20 日，其中一個黑客地址 0x078405 將超 2500ETH 發送至 Tornado Cash，幾個小時之后，根據特征關聯，可以發現 0x78a9903af04c8e887df5290c91917f71ae028137 地址便開始了提款操作。

黑客通過轉移以及兌換，將部分資金轉移至上一個事件涉及的資金歸集提現的地址。

之后，2021 年 5 月 -7 月，攻擊者將 1100 萬 USDT 轉入 Bixin deposit address。

2023 年 2 月 -3 月，攻擊者通過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 地址，將 277 萬 USDT 發送到 Paxful deposit address。

2023 年 4 月 -6 月，攻擊者通過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 地址，將 840 萬 USDT 發送到 Noones deposit address。

Steadefi?和?CoinShift?黑客攻擊

Steadefi 事件攻擊地址

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Coinshift 事件攻擊地址

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

2023 年 8 月，Steadefi 事件的 624 枚被盜 ETH 被轉移到 Tornado Cash，同一個月，Coinshift 事件的 900 枚被盜 ETH 被轉移到 Tornado Cash。

在轉移 ETH 到 Tornado Cash 之后，立即陸續將資金提取到下面地址：

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023 年 10 月 12 日，上述三個地址將從 Tornado Cash 提取的資金都發送到了 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 地址上。

2023 年 11 月，0x5d65ae 地址開始轉移資金，最終通過中轉和兌換，將資金發送到了 Paxful deposit address 以及 Noones deposit address。

事件總結

以上介紹了朝鮮黑客 Lazarus Group 過往幾年的動態，并對其洗錢的方式進行了分析與總結：Lazarus Group 在盜取加密資產后，基本是通過來回跨鏈再轉入 Tornado Cash 等混幣器的方式進行資金混淆。在混淆之后，Lazarus Group 將被盜資產提取到目標地址并發送到固定的一些地址群進行提現操作。此前被盜的加密資產基本上都是存入 Paxful deposit address 以及 Noones deposit address，然后通過 OTC 服務將加密資產換為法幣。

在 Lazarus Group 連續、大規模的攻擊下，Web3 行業面臨著較大的安全挑戰。Beosin 持續關注該黑客團伙，將對其動態和洗錢方式進行進一步的追蹤，幫助項目方、監管與執法部門打擊此類犯罪，追回被盜資產。