Lazarus Group lancia la moneta meme "QinShihuang" per riciclare altri 26 milioni di dollari dalla scorta di Bybit

Domenica mattina il gruppo nordcoreano Lazarus ha lanciato una moneta meme chiamata QinShihuang sulla piattaforma Pump Fun per riciclare 26 milioni di dollari dai quasi 1,5 miliardi di dollari rubati dall'exchange di criptovalute Bybit.

l'investigatore on-chain ZachXBT, a smascherare che ha confermato come il wallet coinvolto (5STkQy…95T7Cq) abbia inviato esattamente 60 token SOL a un altro wallet (9Gu8v6…aAdqWS) prima di lanciare mezzo milione di token QinShihuang.

Nel giro di circa tre ore, questi token sono stati ampiamente scambiati e il volume delle transazioni ha rapidamente superato i 26 milioni di dollari.

Zach tracrintracciato chiaramente i fondi. Ha affermato che gli aggressori hanno trasferito 1,08 milioni di dollari USDC rubati da Bybit all'indirizzo del portafoglio 0x363908df2b0890e7e5c1e403935133094287d7d1 il 22 febbraio.

Gli aggressori di Bybit hanno trasferito questi fondi da Ethereum alla blockchain Solana , utilizzando il portafoglio EFmqz8PTTShNsEsErMUFt9ZZx8CTZHz4orUhdz8Bdq2P.

Come Lazarus ce la fa

Dopodiché, Lazarus ha spostato gli USDC su Binance Smart Chain (BSC), dove il sistema tracdi Zach ha mostrato che due portafogli separati hannomaticsuddiviso gli USDC rubati su oltre trenta indirizzi diversi, suddividendo i fondi in trasferimenti più piccoli e difficili datrac.

Una volta divisi, Lazarus ha ricombinato questi piccoli lotti di fondi in un unico portafoglio: 0x0be9ab85f399a15ed5e8cbe5859f7a882c7b55a3. Zach ha confermato il portafoglio 0x0be9, quindi ha suddiviso ulteriormente i fondi, inviando 106.000 USDC equamente su dieci nuovi portafogli.

Quei dieci portafogli hanno nuovamente collegato tutto a Solana, completando un ciclo completo di blockchain progettato specificamente per confondere tracdella blockchain. Non è un po' impressionante?

Zach ha notato anche un'altra cosa strana. Molti di questi indirizzi Solana ricevevano minuscole transazioni di "polvere" di meme coin da truffatori casuali.

Lazarus, invece di ignorare questa polvere, iniziò attivamente a scambiare queste monete meme con SOL. Ripulì i SOL sporchi, li rimescolò e trasferì i fondi tramite scambi Pump Fun, esattamente come con QinShihuang.

Zach ha pubblicato pubblicamente gli indirizzi coinvolti (circa 920 portafogli), ma ha rimosso alcuni portafogli specifici dalle tractractrac tractractractrac tractrac. Potete trovarli qui.

Il denaro rubato da Bybit è poi finito su vari exchange di criptovalute e piattaforme di scambio, scomparendo silenziosamente dietro transazioni apparentemente legittime.

Mert, CEO di Helius Labs, ha commentato direttamente i rischi, affermando che i team che sviluppano app decentralizzate senza filtri o protezioni stanno commettendo un grave errore. Ha paragonato le app crittografiche alla posta elettronica, dove la tecnologia di base è neutrale, ma il software rivolto all'utente, come Gmail, blocca gli autori di attacchi noti.

Secondo Mert, le app di criptovalute devono implementare gli stessi filtri di base se sanno che specifici indirizzi di portafoglio appartengono a gruppi criminali come Lazarus. Mert ha precisato di non aver verificato personalmente se Lazarus avesse emesso direttamente le monete, ma ha rilasciato queste dichiarazioni per mettere in guardia gli sviluppatori in generale da rischi di questo tipo.

Mert si è chiesto specificamente perché Pump Fun non avesse inserito nella blacklist i wallet associati a Lazarus. Con un volume di trading così elevato, Lazarus ha facilmente acquistato criptovalute su wallet puliti, ha gonfiato i prezzi usando SOL rubati e ha poi rivenduto tutto su quei wallet puliti. Attraverso un semplice trading pump-and-dump, Lazarus ha trasformato criptovalute rubate chiaramente tracin profitti puliti e nontrac.

Non è il primo rodeo di Lazarus

Le scoperte di Zach hanno dimostrato che Lazarus ha già fatto lo stesso in passato. Alcuni indirizzi dell'attuale schema di riciclaggio hanno già lanciato altri token meme su Pump Fun. Ciò significa che Lazarus ha ripetutamente sfruttato l'attività di trading di Pump Fun per riciclare denaro.

SlowMist, una società di ricerca sulla sicurezza, ha sottolineato che Lazarus ha fatto ampio uso della piattaforma di mixaggio di criptovalute eXch. eXch si è rifiutata esplicitamente di fornire assistenza quando Bybit ha chiesto la sua collaborazione.

Invece, eXch ha pubblicato pubblicamente la richiesta di intercettazione di Bybit e l'ha respinta con rabbia. SlowMist ha spiegato chiaramente che eXch prende di mira apertamente il personale di sicurezza, esponendo informazioni personali online.

tronesortato con forza le piattaforme crittografiche ad aumentare le misure di sicurezza contro i fondi provenienti da eXch, che Lazarus utilizza regolarmente per convertire gli ETH rubati in criptovalute più difficili datraccome Bitcoin e Monero.

Arthur Hayes, co-fondatore dell'exchange di criptovalute BitMEX, ha chiesto apertamente a Vitalik Buterin su X se Ethereum avrebbe potuto prendere in considerazione l'idea di ripristinare la blockchain per invertire il massiccio attacco informatico a Bybit, che ha portato al furto di circa 400.000 ETH.

Il post di Arthur ha scatenato un dibattito immediato tra gli utenti di criptovalute. Ha ribadito, affermando chiaramente di credere che Ethereum abbia abbandonato l'immutabilità dopo l'hack di DAO del 2016, quando gli sviluppatori Ethereum hanno invertito un furto da 60 milioni di dollari utilizzando un controverso hard fork.

Arthur ha affermato che a quel punto Ethereum "ha smesso di essere denaro". Ha sostenuto apertamente che se Ethereum aveva già effettuato un rollback in precedenza, non ci dovrebbero essere resistenze a farlo di nuovo ora per recuperare i fondi di Bybit.

Vitalik non ha ancora risposto pubblicamente alla richiesta di Arthur. Ma molti nella community stanno criticando il suggerimento di Arthur, e alcuni addirittura pensano che stia prendendo in giro Vitalik.

Il tweet di Arthur ha anche riacceso i dibattiti sull'immutabilità della blockchain, sulla decentralizzazione e sulla possibilità che i rollback si verifichino di nuovo sulle principali blockchain.

Gli analisti della blockchain hanno spiegato chiaramente perché Ethereum probabilmente non prenderà in considerazione un rollback ora. La rete di Ethereumattualmente utilizza un modello "basato su account" per conservare i fondi, proprio come le banche tradizionali.

Quando gli sviluppatori Ethereum hanno annullato l'attacco hacker a DAO, i nodi hanno aggiornato le versioni del software e trasferito i fondi ETH su nuovi indirizzi. Oggi, annullare un attacco simile richiederebbe un consenso massiccio da parte di utenti, nodi e sviluppatori Ethereum , un consenso ormai quasi impossibile.

Qualcosa di simile è accaduto con Bitcoin nel 2019. BinanceIl CEO di Bitcoin dopo che degli hacker avevano rubato 40 milioni di dollari. A causa delle polemiche, ha rapidamente cambiato la sua espressione, passando da "annullamento" a "riorganizzazione".

I minatori e i maxi-miner di Bitcoinhanno respintotronl’idea, criticando qualsiasi tentativo di invertire le transazioni come una violazione fondamentale dei principi di decentralizzazione.

Anche questa volta la community di Ethereumha respinto l'idea del rollback. Tuttavia, blockchain più piccole hanno eseguito rollback con successo in passato, in genere dopo un attacco. È raro, ma non del tutto inaudito.

Zach ha annunciato per la prima volta il massiccio furto di Bybit venerdì scorso. Ha individuato attività on-chain sospette che hanno coinvolto oltre 1,47 miliardi di dollari in rapida uscita da Bybit. Zach ha osservato gli aggressori scambiare rapidamente token wrapped come mETH e stETH con normali Ethereum tramite exchange decentralizzati, cercando aggressivamente di occultare i fondi rubati.