开始针对中心化加密机构？Lazarus 104天内的五次黑客攻击

作者：Elliptic Research； 翻译：金色财经0xjs

近期，朝鲜的精英黑客组织“Lazarus”似乎已经加大了其活动力度，自6月3日以来已经确认对加密实体进行了四次攻击。现在，他们被怀疑已经进行了第五次攻击，这次目标是CoinEx，攻击发生在2023年9月12日。作为回应，CoinEx发布了几条推文，表明可疑的钱包地址仍在识别中，因此被盗资金的总价值尚不清楚，但目前估计约为5400万美元。

在过去的104天里，Lazarus已经窃取了近2.4亿美元的加密资产：Atomic Wallet（1亿美元）、CoinsPaid（3,730万美元）、Alphapo（6,000万美元）和Stake.com（4,100万美元）。

正如上图所示，Elliptic的分析确认，从CoinEx被盗的部分资金被发送到一个地址，该地址被Lazarus组织用来洗钱，尽管使用的是不同的区块链。在此之后，这些资金被桥接到以前由Lazarus使用的以太坊桥，然后发送回CoinEx黑客已知的地址。Elliptic曾经观察到Lazarus在不同黑客事件中合并来自不同黑客事件的资金，最近一次是Stake.com和Atomic Wallet事件中合并的资金。这些资金合并的情况在下图中以橙色表示。

鉴于这种区块链活动，以及没有信息表明CoinEx的黑客攻击是由其他威胁组织进行的，Elliptic认为应该怀疑Lazarus组织窃取了CoinEx的资金。

Lazarus 104天内五次攻击

2022年，多起知名黑客攻击被认为来自Lazarus，包括Harmony的Horizon桥和Axie Infinity的Ronin桥，这些攻击都发生在去年上半年。从那时到今年6月之间，没有任何一起重大的加密货币盗窃事件被公开归因于Lazarus。因此，过去104天内的各种黑客攻击代表了这个朝鲜威胁组织活动升级的一步。

● 2023年6月3日，非托管的去中心化加密货币钱包Atomic Wallet的用户损失了超过1亿美元。Elliptic在2023年6月6日确认了这次黑客攻击，当时识别到多个迹象表明是Lazarus组织所为。这一归因后来得到了FBI的确认。

● 2023年7月22日，Lazarus通过成功的社交工程攻击获得了加密货币支付平台CoinsPaid的热钱包访问权限。这一访问权限使攻击者能够创建授权请求，从该平台的热钱包中提取约3,730万美元的加密资产。2023年7月26日，CoinsPaid发布了一份报告，声称这次攻击是由Lazarus所为。这一归因后来得到了FBI的确认。

● 同一天，即2023年7月22日，Lazarus进行了另一次高调攻击，这次攻击针对的是中心化的加密货币支付提供商Alphapo，窃取了6,000万美元的加密资产。攻击者可能是通过之前被盗的私钥获得了访问权限。与上述一样，FBI后来将此次攻击归因于Lazarus。

● 2023年9月4日，在线加密货币菠菜平台Stake.com遭受了一次攻击，大约窃取了价值约4,100万美元的虚拟货币，可能是由于盗窃私钥。FBI在9月6日发布了新闻稿，确认Lazarus组织是这次攻击的幕后黑手。

● 最近，在2023年9月12日，中心化加密交易所CoinEx遭受了黑客攻击，窃取了价值5400万美元的资金。如上所述，许多因素表明Lazarus是这次攻击的幕后黑手。

Lazaru改变策略？针对中心化加密机构

对Lazarus最新活动的分析表明，自去年以来，他们已经将注意力从去中心化服务转向了中心化服务。前面提到的五起最近的黑客攻击中，有四起是针对中心化虚拟资产服务提供商的。

有多种可能的解释，可以解释为什么Lazarus的注意力可能再次转向中心化服务。

● 安全性的增加：Elliptic之前的研究发现，2022年DeFi黑客事件中，每隔四天就会发生一次攻击，每次攻击平均窃取3260万美元。跨链桥是2022年初较新的一种服务形式，成为最常受黑客攻击的DeFi协议之一。这些趋势可能已促使智能合约审计和开发标准的改进，从而减少了黑客发现和利用漏洞的范围。

● 社交工程攻击容易性：对于他们的许多攻击，Lazarus的攻击方法选择了社交工程。例如，对Ronin Bridge的54亿美元黑客攻击被归因于一份虚假的领英职位邀请。然而，去中心化服务通常拥有较小的工作人员，并且正如其名称所示，去中心化程度各不相同。因此，恶意访问开发者不一定等于获得对智能合约的管理访问权限。而中心化交易所可能会运营更大规模的工作人员，从而扩大了潜在目标的范围。它们还可能使用中心化的内部信息技术系统，使Lazarus恶意软件更有机会渗透其业务的预期功能。