Криптологи бьют тревогу после того, как 16 мая 2025 года из нескольких кошельков Solana Украденные активы были быстро проданы в блокчейне и переведены в Ethereum после чего часть из них была отмыта через Tornado Cash .
Solana жертвы были сняты все токены, а затем активы были конвертированы в Ethereum через мост, после чего часть из них была переведена на Tornado Cash .
Исследователь блокчейна ZachXBT публично сообщил об этой уязвимости , проведя параллели с более ранней деятельностью Lazarus.
Хакеры подключили украденные средства
Специалисты по блокчейну впервые забили тревогу, обнаружив крупные переводы с адреса « C4WY…e525 » на Solana .
Эти транзакции, связанные с печально известной группой Lazarus, включали перемещение украденных токенов через мост и их конвертацию в Ethereum. ZachXBT обнаружил атаку, отслеживая активность моста и tracсредства, которые в конечном итоге оказались в сети кошельков на Ethereum.
25 июня и 27 июня в Tornado Cash двумя отдельными платежами. Эти транзакции с 800 ETH на общую сумму примерно 1,6 миллиона долларов соответствуют хорошо задокументированной тактике отмывания денег, используемой Lazarus Group
После громких взломов, таких как взлом Bybit, в результате которого в феврале 2025 года было украдено 1,5 миллиарда долларов, и взлом моста Horizon компании Harmony в 2022 году, а также других известных взломов, Лазарус неоднократно использовал Tornado Cash , наряду с децентрализованными биржами и кроссчейн-мостами, для отмывания средств путем сокрытия следов транзакций.
Примерно 1,25 миллиона долларов США по-прежнему находятся в кошельке с адресом « 0xa5…d528 » в dent Ethereum , хранящемся в виде комбинации DAI и ETH. Аналитики предполагают, что эти средства могут быть либо размещены для отмывания денег в будущем, либо намеренно удерживаться в неактивном состоянии для снижения риска обнаружения.
Компания Lazarus Group ведет свою деятельность с 2017 года
Группа Lazarus заслужила репутацию самой плодовитой киберпреступной организации, связанной с государством, и под санкциями Северной Кореи она внесена в список сложных устойчивых угроз, связанных с элитными подразделениями военной разведки Пхеньяна. За годы своей деятельности, начиная с 2017 года, они украли криптовалюту на миллиарды долларов.
Их метод работы часто начинается с фишинга или проникновения с помощью вредоносного ПО в ключевые структуры персонала, используя уязвимости смарт-tracили кошельков. После получения средств они быстро конвертируются в ликвидные активы, распределяются по нескольким кошелькам и отмываются в различных блокчейнах с использованием миксеров, таких как Tornado Cash , и сервисов, предоставляющих мгновенные обмены без требований «Знай своего клиента» (KYC).
Tornado Cash остается центральным элементом стратегии отмывания денег Lazarus. Несмотря на то, что санкции США были введены в 2022 году, децентрализованный хостинг и неизменность данных позволили сервису избежать окончательного закрытия. В январе 2025 года апелляционный суд США отменил эти санкции, сославшись на соображения свободы слова, несмотря на растущие доказательства, связывающие Lazarus с продолжающимся использованием миксера.
Регуляторы и биржи теперь могут принимать меры для пометки адресов как подозрительных. Однако, учитывая скорость и сложность системы отмывания денег Lazarus, сервисы смешивания транзакций по-прежнему оказываются достаточными для сокрытия перемещения украденных средств.
