Lazarus Group запускает мем-монету «QinShihuang» для отмывания еще 26 миллионов долларов из резервов Bybit

Северокорейская компания Lazarus Group в воскресенье утром разместила на платформе Pump Fun мем-монету под названием QinShihuang, чтобы отмыть 26 миллионов долларов из почти 1,5 миллиарда долларов, украденных у криптовалютной биржи Bybit.

исследователь блокчейна ZachXBT сообщил , подтвердив, что задействованный кошелек (5STkQy…95T7Cq) отправил ровно 60 токенов SOL на другой кошелек (9Gu8v6…aAdqWS) перед запуском полумиллиона токенов QinShihuang.

В течение примерно трех часов эти токены стали активно торговаться, и объем транзакций быстро превысил 26 миллионов долларов.

Зак четко tracвозвращение средств. Он сказал, что злоумышленники перевели 1,08 миллиона долларов США, украденных с Bybit, на адрес кошелька 0x363908df2b0890e7e5c1e403935133094287d7d1 22 февраля.

Злоумышленники, использовавшие Bybit, перевели эти средства из Ethereum в блокчейн Solana , используя кошелек EFmqz8PTTShNsEsErMUFt9ZZx8CTZHz4orUhdz8Bdq2P.

Как Лазарю это удаётся

После этого Лазарус переместил USDC на Binance Smart Chain (BSC), где tracЗака ​​показало, что два отдельных кошелькаmaticразделили украденные USDC между более чем тридцатью различными адресами, разбив средства на более мелкие,tracпереводы.

После разделения Лазарус объединил эти меньшие суммы средств в один кошелек: 0x0be9ab85f399a15ed5e8cbe5859f7a882c7b55a3. Зак подтвердил, что кошелек 0x0be9 разделил средства еще немного, равномерно распределив 106 000 USDC между десятью новыми кошельками.

Эти десять кошельков снова перевели всё обратно в Solana, завершив полный цикл блокчейна, специально разработанный для того, чтобы запутать пользователей, tracблокчейн. Разве это не впечатляет?

Зак также заметил еще одну странность. На многие из этих адресов Solana поступали крошечные транзакции с «пылью» мемных монет от случайных мошенников.

Вместо того чтобы игнорировать эту пыль, Лазарус начал активно обменивать эти мем-монеты обратно на SOL. Они очистили грязный SOL, перемешали его и перевели средства через сделки Pump Fun — точно так же, как и с QinShihuang.

Зак публично опубликовал адреса задействованных кошельков — около 920 — но удалил некоторые кошельки из tractractrac tractractractrac tractrac. Вы можете найти их здесь.

Украденные деньги Bybit затем оказались на различных криптовалютных биржах и платформах для обмена криптовалют, незаметно исчезнув под видом законных сделок.

Генеральный директор Helius Labs Мерт прямо прокомментировал риски, заявив, что команды, создающие децентрализованные приложения без фильтров и защиты, совершают огромную ошибку. Он сравнил криптоприложения с электронной почтой, где базовая технология нейтральна, но программное обеспечение, ориентированное на пользователя, — например, Gmail — блокирует известных злоумышленников.

По словам Мерта, криптоприложения должны внедрять ту же базовую фильтрацию, если им известно, что конкретные адреса кошельков принадлежат преступным группировкам, таким как Lazarus. Мерт уточнил, что лично он не проверял, выпускал ли Lazarus монеты напрямую, но сделал это заявление, чтобы предупредить разработчиков в целом о подобных рисках.

Мерт конкретно задал вопрос, почему Pump Fun не внесла в черный список кошельки, связанные с Лазарусом. Учитывая огромный объем торгов на Pump Fun, Лазарус легко покупал монеты на чистых кошельках, искусственно завышал цены, используя украденные SOL, а затем продавал все обратно на эти же чистые кошельки. С помощью простой схемы «накачки и сброса» Лазарус превращал легко tracукраденную криптовалюту в чистую,tracприбыль.

Для Лазаря это не первый подобный опыт

Открытия Зака ​​показали, что Лазарус делал это и раньше. Некоторые адреса из текущей схемы отмывания денег ранее запускали другие мем-токены на Pump Fun. Это означает, что Лазарус неоднократно использовал торговую активность Pump Fun для отмывания денег.

Компания SlowMist, занимающаяся исследованиями в области безопасности, указала на то, что Lazarus активно использовал платформу для смешивания криптовалют eXch. eXch категорически отказалась помочь, когда Bybit обратилась к ней с просьбой о сотрудничестве.

Вместо этого eXch опубликовала запрос на перехват от Bybit в открытом доступе и с негодованием отклонила его. SlowMist четко объяснила, что eXch открыто нацелена на сотрудников службы безопасности, раскрывая личную информацию в интернете.

Ониtronпризвали криптоплатформы усилить меры безопасности в отношении средств, поступающих с eXch, который Lazarus регулярно использует для конвертации украденных ETH в криптовалюты, которые сложнееtrac, такие как Bitcoin и Monero.

Артур Хейз, соучредитель криптовалютной биржи BitMEX, открыто спросил Виталика Бутерина на платформе X, Ethereum не рассмотрит отката блокчейна для отмены масштабной хакерской атаки на Bybit, в результате которой было украдено около 400 000 ETH.

Пост Артура немедленно вызвал дискуссию среди пользователей криптовалют. Он подтвердил свою позицию, четко заявив, что, по его мнению, Ethereum отказался от принципа неизменности после взлома DAO в 2016 году, когда разработчики Ethereum отменили кражу 60 миллионов долларов, используя спорный хардфорк.

Артур заявил, что в тот момент Ethereum «перестал быть деньгами». Он открыто утверждал, что если Ethereum и раньше откатывал транзакции, то не должно быть никакого сопротивления повторению этого действия сейчас для возврата средств Bybit.

Виталик до сих пор публично не ответил на просьбу Артура. Однако многие в сообществе критикуют предложение Артура, а некоторые даже считают, что он издевается над Виталиком.

Твит Артура также вновь разжег дебаты о неизменности блокчейна, децентрализации и о том, следует ли вообще когда-либо снова откатывать изменения в основных блокчейнах.

Аналитики блокчейна ясно объяснили, почему Ethereum , вероятно, не будет рассматривать возможность отката сейчас. В настоящее время сеть Ethereumиспользует модель «на основе счетов» для хранения средств, как и обычные банки.

Когда разработчики Ethereum отменили взлом DAO, узлы обновили версии программного обеспечения и перевели средства в ETH на новые адреса. Сегодня для отмены аналогичного взлома потребовалось бы массовое согласие пользователей Ethereum , узлов и разработчиков — консенсус, который сейчас практически невозможен.

Нечто подобное произошло с Bitcoin в 2019 году. BinanceЧанпенг Чжао открыто рассматривал возможность отмены Bitcoin после того, как хакеры украли 40 миллионов долларов. Из-за негативной реакции он быстро изменил формулировку с «отмена» на «реорганизация».

Майнеры и крупные игроки Bitcointronотвергли эту идею, критикуя любые попытки отмены транзакций как фундаментальное нарушение принципов децентрализации.

Сообщество Ethereumна этот раз также отклонило идеи отката. Однако более мелкие блокчейны успешно осуществляли откаты в прошлом, как правило, после атаки. Это редкость, но не совсем беспрецедентный случай.

Зак впервые сообщил о масштабной краже средств на Bybit в прошлую пятницу. Он обнаружил подозрительную активность в блокчейне, в результате которой с Bybit быстро утекало более 1,47 миллиарда долларов. Зак наблюдал, как злоумышленники быстро обменивали обернутые токены, такие как mETH и stETH, на обычные Ethereum через децентрализованные биржи, агрессивно пытаясь скрыть украденные средства.