Solana中的320万美元被盗,他们表示这起事件具有与朝鲜有关联的拉撒路集团(Lazarus Group)的典型特征。 被盗资产迅速在链上出售,并转移到Ethereum其中一部分随后通过Tornado Cash。
5 月 16 日,受害者的Solana地址中的代币被清空,这些资产随后通过桥接器转换为Ethereum,其中一部分被存入Tornado Cash 。
区块链研究员 ZachXBT 公开指出了这一漏洞,并将其与之前的 Lazarus 活动进行了比较。
黑客利用窃取的资金
Solana C4WY…e525 ”地址的大额转账后,首先发出了警报。
这些与臭名昭著的拉撒路集团有关的交易,涉及通过桥接器转移被盗代币并将其转换为 Ethereum。ZachXBT 通过监控桥接器的活动并 trac最终流入 Ethereum钱包网络的资金,发现了此次攻击。.
6月25日和27日,分别有400个以太币分两次存入Tornado Cash账户。这两笔共计800个以太币的交易,总额约为160万美元,与Lazarus Group众所周知的洗钱手法相符。
继 Bybit 在 2025 年 2 月被盗 15 亿美元,以及Harmony 的 Horizon 桥在 2022 年被盗 1 亿美元等一系列引人注目的黑客攻击事件之后,Lazarus 反复使用 Tornado Cash以及去中心化交易所和跨链桥,通过混淆交易轨迹来洗钱。
大约125万美元仍存放在以太坊上一个名为“0xa5…d528”的钱包地址中dentEthereumDAI和ETH的形式持有。分析师推测,这些资金可能是为了将来洗钱而存放,或者是为了降低被发现的风险而故意保持休眠状态。
拉扎勒斯集团自2017年以来一直活跃至今。
拉扎勒斯集团已成为最臭名昭著的与国家有关联的网络犯罪组织,朝鲜制裁将其列为与平壤精锐军事情报部门有关联的“高级持续性威胁”(APT) 。自2017年以来,该组织已窃取了数十亿美元的加密货币。
他们的作案手法通常始于网络钓鱼或恶意软件入侵关键人员,利用智能trac漏洞或钱包漏洞。一旦获取资金,便会迅速将其转化为流动资产,存入多个钱包,然后利用 Tornado Cash 等混币器和无需了解客户 (KYC) 即可进行即时兑换的服务,在区块链上洗钱。.
Tornado Cash仍然是 Lazarus 洗钱策略的核心。尽管美国在 2022 年实施了制裁,但去中心化托管和不可篡改的特性使得该服务得以避免永久关闭。2025 年 1 月,美国一家上诉法院以言论自由为由推翻了这些制裁,尽管越来越多的证据表明 Lazarus 与持续使用 Tornado Cash 有关。
监管机构和交易所现在可能会采取措施,将标记的地址列为可疑地址。然而,鉴于拉扎勒斯洗钱流程的速度和复杂性,混币服务仍然足以掩盖其窃取资金的转移。.
