Следователи установили связь между KelpDAO и хакерами Humanity в блокчейне

Взлом моста KelpDAO на сумму 292 миллиона долларов в апреле и кража закрытого ключа протокола Humanity в июне уже вызывали подозрения в связи между этими инцидентами, поскольку обаdentимели признаки операций, связанных с КНДР, и подозрения пали на печально известную группу Lazarus. 

Теперь данные блокчейна показывают, что доходы от этих атак поступают в общие кошельки, что, по мнению блокчейн-аналитика Specter, соответствует схеме единого канала отмывания денег.

Как злоумышленники переместили средства из Kelp DAO и протокола Humanity?

По данным Specter, злоумышленник, атаковавший Humanity Protocol, переместил 15 403 ETH, что составляет около 23,6 миллиона долларов, на относительно новый Ethereum . 

Затем средства были переведены в сеть Bitcoin , где смешались с доходами, которые, как trac, связаны с уязвимостью KelpDAO.

Эта схема хорошо известна как метод Lazarus Group, при котором они объединяют доходы от отдельных операций в единые Bitcoin кошельки, а затем перенаправляют их через миксеры и внебиржевые точки.

Что связывает эти два эксплойта?

Согласно расследованию Chainalysis, 18 апреля злоумышленники, стоявшие за эксплойтом KelpDAO, взломали внутренние RPC-узлы, управляемые LayerZero Labs, и одновременно осуществили DDoS-атаку на внешние узлы.

Злоумышленники обманом заставилиtracмоста Ethereum выпустить 116 500 rsETH без соответствующего сжигания токенов в исходной цепочке.

Атака была приписана группе Lazarus. Совет безопасности Arbitrum заморозил более 30 000 ETH средств, находящихся в репозитории злоумышленников, а экстренная пауза KelpDAO предотвратила вывод еще 95 миллионов долларов.

Хотя нарушение Протокола о человечности не повторяло схему атаки на Kelp DAO, результаты посмертных расследований показывают, что в нем участвовали связанные с Северной Кореей злоумышленники. 

В отчете обdent , подготовленном компанией Quantstamp для Humanity Protocol 11 июня, говорится, что злоумышленник обманул директора компании Чонг Йи Вая, отправив ему вредоносное электронное письмо, выдававшее себя за корейскую биржу Bithumb. 

Компания Quantstamp заявила, что нападение «характерно для вторжений КНДР»

Вредоносная программа предоставила злоумышленнику удаленный доступ к рабочему столу компьютера Чонга под управлением Windows. Оттуда злоумышленник скопировал ключи кошелька MetaMask и использовал их для создания и продажи несанкционированных токенов $H как в Ethereum , так и в сети BNB Smart Chain. Это привело к падению стоимости токена примерно на 89%.

Согласно данным Quantstamp, выручка, полученная по адресам известных злоумышленников, оценивается более чем в 21 миллион долларов в ETH.

Юридические сложности усложняют процесс восстановления

В настоящее время истцы имеют задолженность по решениям американских судов против Северной Кореи в размере более 877 миллионов долларов. В мае они направили Arbitrum DAO уведомление о запрете на операции 30 апреля, требуя ареста примерно 30 766 ETH (около 71 миллиона долларов) замороженных средств.

Истец утверждал, что, поскольку средства были связаны с Северной Кореей, он имел право конфисковать любые средства, полученные от групп, связанных с этой страной, в качестве части задолженности по невыплаченным судебным решениям.

Компания Arbitrum уже разработала предложение по управлению, предусматривающее перевод замороженных средств в рамках инициативы по восстановлению, поддерживаемой компаниями Aave Labs, KelpDAO, LayerZero, EtherFi и Compound, которая должна была бы компенсировать убытки пострадавшим пользователям.

Позже суд одобрил арбитражное решение о возвращении средств Kelp в Aave. Как отреагирует истец на это новое подтверждение причастности Северной Кореи, покажет время, но, судя по прошлымdent, высока вероятность того, что потеря и возможное восстановление действия Протокола о человечности также могут стать предметом судебного разбирательства.