Северокорейская группа Lazarus начала взламывать системы частных инвесторов, трейдер потерял более 5,2 млн долларов на криптовалюте

По данным компании ZackXBT, занимающейся исследованием блокчейна, северокорейская группа Lazarus причастна к кибератаке, в результате которой 24 мая у криптотрейдера было украдено более 5,2 миллиона долларов. Кража произошла с помощью сложной вредоносной программы, средства были выведены из нескольких типов кошельков, включая кошельки с мультиподписью, внешние счета (EOA) и биржевые кошельки. 

ИнцидентdentZackXBT канале , намекнул на то, что группа, возможно, меняет свою специализацию с работы с состоятельными частными лицами и компаниями на внутридневную индивидуальную торговлю. 

После ограбления около 1000 ETH было переведено в Tornado Cash, сервис смешивания криптовалют, обычно используемый для сокрытия происхождения украденных цифровых активов. Затем украденные активы были оперативно реализованы на открытом рынке.

Адреса trac, Cash в результате торнадо, использованы для отмывания средств

На канале ZachXBT были указаны три Ethereum адреса, связанные с кражей. Помимо небольших остатков токенов QBX, Blocklords, Astra Protocol и DAI на общую сумму около 1340 долларов, на основном адресе находилось более 40 ETH, что составляет около 107 000 долларов по текущим рыночным ценам. Предполагается, что эти средства были частью прибыли от атаки вредоносного ПО.

В минувшие выходные с использованием второго, по всей видимости, нового адреса было обработано всего девять транзакций. С него на основной адрес было отправлено более 200 ETH. Наконец, на момент публикации этой статьи на другом криптовалютном адресе находилось около 2,7 миллиона DAI, что составляло большую часть украденных средств.

Такая модель поведения согласуется с результатами недавнего исследования TRM Labs, в котором подробно описывается всемирная сеть российских преступных организаций и китайских внебиржевых брокеров, которую Северная Корея использует для отмывания своих незаконных доходов.

В отчете утверждается, что компания Lazarus предоставляет техническую экспертизу, но ее партнеры обеспечивают каналы для легальной интеграции украденных средств на рынки.

Отмывание денег продолжится во втором квартале 2025 года 

В апреле аналитическая компания SpotOnChain сообщила, что кошелек, предположительно связанный с Lazarus, продал 40,78 Wrapped Bitcoin (WBTC) за 3,51 миллиона долларов. Bitcoin, первоначально приобретенный в феврале 2023 года примерно за 999 900 долларов, когда WBTC торговался по цене 24 521 доллар, был продан по цене 83 459 долларов за монету, что принесло прибыль в размере 251% за два года. 

Сегодня северокорейская группа Lazarus Group продала 40,78 $WBTC (3,51 млн долларов) с прибылью в 2,51 млн долларов (+251%) — после того, как приобрела их два года назад.

они потратили 999,9 тыс. $USDT на приобретение $WBTC по цене около $24 521, а всего 12 часов назад продали его за 1857 $ETH по цене около $86 170.

Затем хакеры… pic.twitter.com/KYQmqnJnIC

— Spot On Chain (@spotonchain) 3 апреля 2025 г.

Полученные средства были конвертированы в 1847 ETH и впоследствии распределены между тремя кошельками. Крупнейший транш в размере 1865 ETH был tracдо другого кошелька, предположительно принадлежащего группе. Вместо того чтобы хранить конвертированные ETH, Лазарус распределил 2507 ETH по нескольким адресам.

Хакеры, связанные с КНДР, также были причастны к печально известному взлому криптовалютной биржи Bybit на сумму 1,5 миллиарда долларов. После взлома группа, предположительно, отмыла почти 500 000 ETH, что эквивалентно примерно 1,39 миллиарда долларов, в ходе многочисленных транзакций всего за десять дней. 

Стоимость Bybit составляет 49,9 фунтов стерлингов за ETH (13,9 долларов США), а также 10 фунтов стерлингов

ETH рассчитан на 23% (от 2780 долларов США до 2130 долларов США)

而黑客洗钱使用的主要通道 THORChain 也因黑客洗钱获得了 $59 или менее $550万的手续费收入。

本文由 #Bitget｜@Bitget_zh 赞助 https://t.co/osoKNzFhkG pic.twitter.com/QUWuMmV6zH

– 余烬 (@EmberCN) 4 марта 2025 г.

По меньшей мере 605 миллионов долларов были переведены через децентрализованный протокол ликвидности THORChain за один день. Тем не менее, по оценкам платформы анализа блокчейна Arkham Intelligence, в кошельках, привязанных к Lazarus, по-прежнему хранится около 1,1 миллиарда долларов в криптовалютных резервах, включая значительные запасы BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumи Tether.

Финансирование ядерных амбиций посредством киберпреступности

Следователи ООН, контролирующие соблюдение , полагают, что доходы от этих кибератак направляются на программы разработки оружия Северной Кореи. Сообщается, что в период с 2017 по 2023 год страна использовала криптовалютные источники дохода для совершенствования своих ракетных технологий, увеличивая свою способность поражать цели далеко за пределами Корейского полуострова.

В отчете, опубликованном в декабре прошлого года, компания Chainalysis подтвердила , что хакеры, связанные с режимом, украли криптовалюту на сумму более 1,3 миллиарда долларов в 2024 году в ходе 47dent.

«Хакеры, связанные с Северной Кореей, стали печально известны своими изощренными и неустанными методами работы», — говорится в аналитическом обзоре Chainalysis, отмечая, что эти методы используются для обхода международных санкций и финансирования незаконной деятельности государства.