100天「狂攬」3億美元，北韓駭客組織Lazarus瞄準了中心化機構

原文作者：Elliptic

原文編譯：Babywhale，Foresight News

北韓駭客組織Lazarus 最近似乎加強了行動力度，自6 月3 日以來已確認進行了四次針對加密貨幣公司的攻擊，而近期針對加密貨幣交易所CoinEx 的攻擊很可能也是Lazarus 所為。對此，CoinEx 發布了多條推文，表示可疑錢包地址仍在識別中，因此被盜資金的總價值尚不明確，但可能已達到5,400 萬美元。

在過去100 多天裡，Lazarus 已被確認從Atomic Wallet（1 億美元）、CoinsPaid（3,730 萬美元）、Alphapo（6,000 萬美元）和Stake.com（4,100 萬美元）竊取了價值近2.4 億美元的加密資產。

如上圖所示，Elliptic 分析，從CoinEx 竊取的部分資金被發送到Lazarus 組織用來存放從Stake.com 竊取的資金的地址，儘管是在不同的區塊鏈上。此後，資金透過Lazarus 先前使用的跨鏈橋跨鏈至以太坊，然後發送回已知由CoinEx 駭客控制的地址。 Elliptic 曾在Lazarus 事件中觀察到這種來自不同駭客的資金混合情況，最近一次是從Stake.com 竊取的資金與從Atomic 錢包竊取的資金存在混合。這些來自不同駭客的資金合併的情況在下圖中以橘色表示。

100 多天內實施了五次攻擊

2022 年，幾起備受矚目的駭客攻擊被認為是Lazarus 所為，其中包括Harmony 的Horizon 橋被攻擊和Axie Infinity 的Ronin 橋被攻擊，這兩起事件都發生在去年上半年。從那時起到今年6 月，沒有任何重大加密貨幣竊盜案被公開歸咎於Lazarus。因此，過去100 多天的各種駭客攻擊顯示北韓駭客組織又開始活躍了起來。

2023 年6 月3 日，非託管去中心化加密貨幣錢包Atomic Wallet 的用戶損失超過1 億美元。 Elliptic 在確定多個因素表明北韓駭客組織對此負責後，於2023 年6 月6 日正式認定這次駭客攻擊歸咎於Lazarus，後來得到了聯邦調查局（FBI）的證實。

2023 年7 月22 日，Lazarus 透過社會工程攻擊獲得了屬於加密支付平台CoinsPaid 的熱錢包的存取權。此存取權限允許攻擊者創建授權請求，從平台的熱錢包中提取約3730 萬美元的加密資產。 7 月26 日，CoinsPaid 發布報告稱Lazarus 對攻擊負責，並得到了FBI 的證實。

同一天，即7 月22 日，Lazarus 又進行了一次攻擊，這次是針對中心化加密支付提供商Alphapo，竊取了6000 萬美元的加密資產。攻擊者可能透過先前洩漏的私鑰獲得了存取權限。 FBI 此後再度證實了Lazarus 是這起事件的攻擊者。

2023 年9 月4 日，線上加密貨幣博彩平台Stake.com 遭受攻擊，價值約4,100 萬美元的加密貨幣被盜，原因可能是私鑰被盜。 FBI 於9 月6 日發佈公告，確認Lazarus 組織是這次攻擊的幕後黑手。

最後， 2023 年9 月12 日，中心化加密貨幣交易所CoinEx 成為駭客攻擊的受害者， 5,400 萬美元被盜。如上文所述，多項證據顯示Lazarus 對此攻擊負責。

Lazarus 改變了「戰術」？

對Lazarus 最新活動的分析表明，自去年以來，他們已將重點從去中心化服務轉向中心化服務。前面討論的最近五次駭客攻擊中有四次是針對中心化加密資產服務提供者的。在2020 年之前，也就是DeFi 生態系統迅速崛起之前，中心化交易所曾是Lazarus 的主要目標。

對於Lazarus 的注意力再次轉向中心化服務的原因，有多種可能的解釋。

更重視安全性：Elliptic 先前對2022 年DeFi 駭客攻擊的研究發現， 2022 年間平均每四天就會發生一次攻擊，每次攻擊平均竊取3,260 萬美元。跨鏈橋在2022 年成為最常被駭客攻擊的DeFi 協定類型之一。這些趨勢可能促進了智慧合約審計和開發標準的改進，從而縮小了駭客識別和利用漏洞的範圍。

對社會工程的敏感度：在多次駭客攻擊中，Lazarus Group 選擇的攻擊方法是社會工程。例如，Ronin Bridge 價值5.4 億美元的駭客攻擊就是透過LinkedIn 的虛假工作機會找出的「缺口」。然而，去中心化的服務往往沒有很多的員工，而且──顧名思義──在不同程度上是去中心化的。因此，取得對開發人員的惡意存取可能不一定等於取得對智慧合約的管理存取權限。

同時，中心化交易所則可能會僱用相對更多的勞動力，從而擴大可能的目標範圍。他們還可能使用中心化的內部資訊技術系統進行操作，從而使Lazarus 惡意軟體有更大的機會滲透到業務中去。