Экспертами в области блокчейн-форенсики поднята тревога по поводу быстрого отмывания средств после последнего взлома Bybit, что может указывать на расширение финансовых операций Северной Кореи.
Атака на Bybit и отмывание средств
По данным отчета TRM Labs от 27 февраля, примерно 400 миллионов долларов из украденных 1.46 миллиардов были отмыты в считанные дни. Хакеры использовали сложную сеть промежуточных кошельков, децентрализованных бирж, кроссчейн-мостов и криптообменов для сокрытия движения средств.
Новые стратегии хакеров
Северокорейские хакерские группы традиционно используют криптомиксеры для сокрытия украденных средств, однако масштаб атаки на Bybit заставил их принять новые стратегии. Вместо использования миксеров они начали распределять средства по множеству кошельков и децентрализованных площадок, чтобы усложнить отслеживание. Первоначально украденный Ethereum был переведен через BNB Chain и Solana, но теперь большая часть переведена в Bitcoin. Хотя средства быстро перемещались, большинство из них не тронуты, что может указывать на подготовку к крупномасштабной ликвидации через внебиржевые сети.
Роль Lazarus Group
Атака на Bybit была выполнена через многоступенчатый процесс, и эксперты по безопасности указывают на уязвимость Safe Wallet как ключевой фактор. Хакеры взломали устройство разработчика и использовали социальную инженерию для обмана владельца кошелька Bybit с целью одобрения вредоносной транзакции. Дополнительное расследование подтвердило причастность северокорейской Lazarus Group к атаке 21 февраля. В ходе сотрудничества с детективом ZachXBT компания Arkham Intelligence отследила соединения кошельков с группой. Arkham предложила награду в размере 31,500 долларов за информацию, ведущую к идентификации нападающих, а ZachXBT провел анализ, связавший данный взлом с предыдущими операциями Lazarus Group.
Атака на Bybit и быстрое отмывание средств свидетельствуют о том, что Северная Корея, возможно, расширила свои финансовые возможности. Эксперты активно работают над идентификацией и предотвращением дальнейших атак.
