ZachXBT attacca Garden Finance per i suoi legami con i riciclatori cinesi e gli hacker di Lazarus

Venerdì, l'investigatore della sicurezza blockchain ZachXBT ha accusato Garden Finance, una piattaforma DeFi , di aver accettato fondi illeciti collegati al gruppo nordcoreano Lazarus. Le accuse sono arrivate dopo che il co-fondatore Jaz Gulati ha pubblicato un'istantanea della dashboard Dune Analytics di Garden su X, vantandosi di aver incassato 300.000 dollari di commissioni in 12 giorni.

ZachXBT ha risposto al post, attaccando Garden per aver supportato operazioni di riciclaggio con sede in Cina che hanno contribuito a spostare i fondi rubati durante l' attacco hacker a Bybit da parte del Lazarus Group. 

"Hai convenientemente omesso di dire che oltre l'80% dei tuoi guadagni proveniva da riciclatori cinesi che spostavano fondi del gruppo Lazarus dopo l'attacco hacker a Bybit", ha commentato. "Per chi stai costruendo, di preciso?"

L'analista della sicurezza crittografica interroga i dati del dashboard

Secondo la dashboard di Dune, al 19 giugno Garden Finance aveva elaborato un volume totale di 24.984 BTC, pari a circa 1,5 miliardi di dollari in dollari, attraverso oltre 40.000 atomic swap. Lo swap più grande della piattaforma fino ad oggi è stato di 10 BTC, mentre le commissioni totali riscosse sono state pari a 40,11 BTC. 

Rispondendo alle affermazioni di ZachXBT, Gulati ha sostenuto che "le commissioni da 30 BTC sono arrivate prima ancora che avvenisse l'hacking", allegando uno screenshot di Discord datato 24 ottobre 2024, che mostrava circa 30 BTC di commissioni.

Questa è un'analisi fantastica, dato che le commissioni di 30 BTC sono arrivate prima ancora che l'hack avvenisse pic.twitter.com/C6A5F3BLsd

— Jaz (@jazgulati) 21 giugno 2025

L'investigatore on-chain ha fatto notare di non aver ancora menzionato i fondi provenienti da "altri attacchi hacker in Corea del Nord, come quello a WazirX", criticando il DeFi per non essere riuscito a segnalare le transazioni degli hacker. 

L'attacco hacker a Bybit, avvenuto il 21 febbraio 2025, ha comportato una violazione del cold wallet dell'exchange. Quasi 1,5 miliardi di dollari in Ethereum sono stati sottratti dagli account degli utenti dopo che gli aggressori hanno compromesso uno sviluppatore che lavorava su SAFE Wallet, una piattaforma utilizzata dai clienti di Bybit, cinque giorni prima dell'attacco. 

Diversi analisti, tra cui ZachXBT, tracricondotto i fondi rubati a reti di riciclaggio che operano tramite DeFi ponti Lazarus Group.

Gulati ha attaccato duramente l'analista della sicurezza blockchain affermando che stava parlando da un punto di vista di "disinformazione"  

ZachXBT ha quindi chiesto: "Spiegate come si può definire 'decentralizzato' quando ho assistito in tempo reale per diversi giorni a un'unica entità che continuava a rifornire di liquidità Coinbase i riciclatori di denaro cinesi, mentre questi spostavano fondi da Bybit?" 

spiegare come è "decentralizzato" quando ho visto in tempo reale per diversi giorni come una singola entità continuava a rifornire di liquidità cbBTC da Coinbase i riciclatori cinesi mentre continuavano a spostare i fondi Bybit?

— ZachXBT (@zachxbt) 21 giugno 2025

Lo sviluppatore non ha ancora risposto alla domanda.

Chi ha aiutato Lazarus nell'attacco hacker da 230 milioni di dollari a WazirX?

Nelle sue accuse contro Gulati, ZachXBT ha parlato dell'attacco a WazirX, un exchange di criptovalute indiano, dove il Lazarus Group avrebbe rubato oltre 230 milioni di dollari in criptovalute. L'attacco, avvenuto il 18 luglio 2024, è stato eseguito tramite firme di smart contract falsificate,tracper aggirare le protezioni multisig del wallet di WazirX.

Gli hacker hanno prosciugato i fondi entro un'ora dall'accesso. Analogamente al caso Bybit, gli investigatori tracl'exploit al gruppo nordcoreano Lazarus. 

Le autorità di Giappone, Stati Uniti e Corea del Sud hanno successivamente emesso un avviso congiunto di sicurezza informatica, individuandodentsimili utilizzate in entrambi gli attacchi. Il gruppo avrebbe utilizzato tecniche di ingegneria sociale, phishing, TraderTraitor e malware per prendere di mira le workstation degli sviluppatori e comprometterne l'infrastruttura.

Le criptovalute rubate in entrambi gli attacchi sono state successivamente riciclate su piattaforme decentralizzate, spesso utilizzando mixer per oscurare le tracce delle transazioni. 

La dashboard di Garden Finance mostra un picco negli Bitcoin tra maggio e giugno 2025, con volumi giornalieri individuali che hanno raggiunto un massimo di circa 90 transazioni in Bitcoin asset  scambi wrapped"

Il grafico elenca gli swap in base a combinazioni di token-catena come base-cbBTC, ethereum-WBTC e arbitrum-WBTC, con base-cbBTC che registra le statistiche di utilizzo più elevate.

cbBTC, un Bitcoin ancorato a Coinbase BTC, è stato menzionato da ZachXBT nel suo attacco a Garden Finance, sostenendo che la piattaforma era coinvolta nei movimenti nontracdi fondi illeciti da parte di hacker della RPDC.