Группа Lazarus наносит новый удар, совершив ограбление Solana на сумму 3,2 миллиона долларов

Криптологи бьют тревогу после того, как Solana 16 мая 2025 года из нескольких кошельков Украденные активы были быстро проданы в блокчейне и переведены в Ethereum после чего часть из них была отмыта через Tornado Cash.

жертвы Solana были сняты все токены, а затем активы были конвертированы в Ethereum через мост, после чего часть из них была переведена на Tornado Cash.

Исследователь блокчейна ZachXBT публично сообщил об этой уязвимости, проведя параллели с более ранней деятельностью Lazarus.

Хакеры подключили украденные средства

Специалисты по блокчейну впервые забили тревогу, обнаружив крупные переводы с адреса «C4WY…e525» на Solana.

Эти транзакции, связанные с печально известной группой Lazarus, включали перемещение украденных токенов через мост и их конвертацию в Ethereum. ZachXBT обнаружил атаку, отслеживая активность моста и tracсредства, которые в конечном итоге оказались в сети кошельков на Ethereum.

25 июня и 27 июня в Tornado Cash двумя отдельными платежами. Эти транзакции с 800 ETH на общую сумму примерно 1,6 миллиона долларов соответствуют было переведено 400 ETH хорошо задокументированной тактике отмывания денег, используемой Lazarus Group

После громких взломов, таких как взлом Bybit, в результате которого в феврале 2025 года было украдено 1,5 миллиарда долларов, и взлом моста Horizon компании Harmony в 2022 году, а также других известных взломов, Лазарус неоднократно использовал Tornado Cash, наряду с децентрализованными биржами и кроссчейн-мостами, для отмывания средств путем сокрытия следов транзакций.

Примерно 1,25 миллиона долларов США по-прежнему находятся в кошельке сdentадресом «0xa5…d528» в Ethereum, хранящемся в виде комбинации DAI и ETH. Аналитики предполагают, что эти средства могут быть либо размещены для отмывания денег в будущем, либо намеренно удерживаться в неактивном состоянии для снижения риска обнаружения.

Компания Lazarus Group ведет свою деятельность с 2017 года

Группа Lazarus заслужила репутацию самой плодовитой киберпреступной организации, связанной с государством, и под санкциями Северной Кореи она внесена в список сложных устойчивых угроз, связанных с элитными подразделениями военной разведки Пхеньяна. За годы своей деятельности, начиная с 2017 года, они украли криптовалюту на миллиарды долларов.

Их метод работы часто начинается с фишинга или проникновения с помощью вредоносного ПО в ключевые структуры персонала, используя уязвимости смарт-tracили кошельков. После получения средств они быстро конвертируются в ликвидные активы, распределяются по нескольким кошелькам и отмываются в различных блокчейнах с использованием миксеров, таких как Tornado Cash , и сервисов, предоставляющих мгновенные обмены без требований «Знай своего клиента» (KYC).

Tornado Cash по-прежнему играет центральную роль в стратегии отмывания денег Lazarus. Несмотря на то, что санкции США были введены в 2022 году, децентрализованный хостинг и неизменность данных позволили сервису избежать окончательного закрытия. В январе 2025 года апелляционный суд США отменил эти санкции, сославшись на соображения свободы слова, несмотря на растущие доказательства, связывающие Lazarus с продолжающимся использованием миксера.

Регуляторы и биржи теперь могут принимать меры для пометки адресов как подозрительных. Однако, учитывая скорость и сложность системы отмывания денег Lazarus, сервисы смешивания транзакций по-прежнему оказываются достаточными для сокрытия перемещения украденных средств.