أثار محققو العملات الرقمية مخاوف جدية بعد سحب 3.2 مليون دولار من Solana في 16 مايو 2025، وهو ما يشير، بحسب قولهم، إلى تورط مجموعة لازاروس المرتبطة بكوريا الشمالية. وقد بيعت الأصول المسروقة بسرعة على البلوك تشين، ثم نُقلت إلى Ethereum قبل أن يُغسل جزء منها عبر منصة تورنادو Cash .
Solana الخاصة بالضحية من الرموز، ثم تم تحويل الأصول إلى Ethereum عبر جسر قبل إيداع جزء منها في Tornado Cash .
الباحث في مجال تقنية البلوك تشين ZachXBT بالإبلاغ علنًا عن الثغرة الأمنية ، واضعًا أوجه تشابه مع نشاط Lazarus السابق.
قام المتسللون بتحويل الأموال المسروقة
أثار محققو تقنية البلوك تشين الإنذار لأول مرة بعد ملاحظة عمليات تحويل كبيرة من العنوان " C4WY…e525 " على Solana .
تضمنت هذه المعاملات، المرتبطة بمجموعة لازاروس سيئة السمعة، نقل الرموز المسروقة عبر جسر وتحويلها إلى Ethereum. وقد رصد ZachXBT الهجوم من خلال مراقبة نشاط الجسر tracالأموال التي انتهى بها المطاف في شبكة من المحافظ على Ethereum.
في 25 يونيو، ثم في 27 يونيو، تم إرسال 400 إيثيريوم إلى حساب تورنادو Cash في دفعتين منفصلتين. تتوافق هاتان العمليتان، اللتان بلغت قيمتهما 800 إيثيريوم وقيمتهما الإجمالية حوالي 1.6 مليون دولار، مع أساليب غسيل الأموال الموثقة جيداً لمجموعة لازاروس
في أعقاب عمليات الاختراق البارزة مثل Bybit، حيث سُرق 1.5 مليار دولار في فبراير 2025، و100 مليون دولار من جسر Horizon الخاص بـ Harmony في عام 2022، من بين عمليات اختراق أخرى بارزة، استخدم Lazarus مرارًا وتكرارًا Tornado Cash ، إلى جانب البورصات اللامركزية وجسور السلاسل المتعددة، لغسل الأموال عن طريق إخفاء مسارات المعاملات.
لا يزال ما يقارب 1.25 مليون دولار أمريكي موجوداً في محفظة إلكترونية dent عنوان " 0xa5…d528 " على Ethereum ، وهي عبارة عن مزيج من عملتي DAI وETH. ويتوقع المحللون أن هذه الأموال قد تكون إما مُجمدة تمهيداً لغسل الأموال مستقبلاً، أو أنها مُجمدة عمداً لتجنب كشفها.
مجموعة لازاروس نشطة منذ عام 2017
اكتسبت مجموعة لازاروس سمعةً سيئةً كأكثر منظمات الجرائم الإلكترونية المرتبطة بالدولة نشاطًا، حيث صنّفتها العقوبات المفروضة عليها من كوريا الشمالية كتهديد متقدم مستمر مرتبط بوحدات الاستخبارات العسكرية النخبوية في بيونغ يانغ. وعلى مرّ السنين، سرقت المجموعة مليارات الدولارات من العملات المشفرة منذ عام 2017.
تبدأ أساليبهم الإجرامية عادةً بالتصيد الاحتيالي أو اختراق الموظفين الرئيسيين باستخدام برامج خبيثة، مستغلين ثغراتtracالذكية أو نقاط ضعف المحافظ الإلكترونية. وبمجرد الحصول على الأموال، يتم تحويلها بسرعة إلى أصول سائلة، وتقسيمها إلى محافظ متعددة، وغسلها عبر سلاسل الكتل باستخدام خدمات خلط العملات مثل Tornado Cash وخدمات توفر عمليات تبادل فورية دون اشتراطات اعرف عميلك (KYC).
"تورنادو Cash محورية في استراتيجية غسيل الأموال التي يتبعها لازاروس. ورغم عقوبات أمريكية عليها عام 2022، إلا أن استضافة الخدمة اللامركزية وعدم قابليتها للتغيير مكّناها من تجنب الإغلاق الدائم. وفي يناير 2025، نقضت محكمة استئناف أمريكية تلك العقوبات، مستندةً إلى اعتبارات حرية التعبير، على الرغم من الأدلة المتزايدة التي تربط لازاروس باستمرار استخدام خدمة خلط العملات الرقمية.
قد تتخذ الهيئات التنظيمية والبورصات الآن خطوات لتصنيف العناوين المشبوهة على أنها عناوين مريبة. ومع ذلك، ونظرًا لسرعة وتعقيد عملية غسيل الأموال التي يقوم بها لازاروس، لا تزال خدمات خلط العملات كافية لإخفاء حركة أموالهم المسروقة.
