De aan Noord-Korea gelinkte Lazarus Group heeft op 12 maart 2025 400 ETH (ter waarde van $750,000) overgedragen aan Tornado Cash, vermoedelijk om opbrengsten van de record $1,5 miljard Bybit-hack wit te wassen, rapporteren blockchain onderzoekers.
Noord-Korea's Lazarus Groep Verplaatst 400 ETH naar Tornado Cash Na $1,5 miljard Bybit Hack
Dit artikel is meer dan een jaar geleden gepubliceerd. Sommige informatie is mogelijk niet meer actueel.
GESCHREVEN DOOR
DELEN
ZachXBT: Tornado Cash Demix Onthult Noord-Korea’s aankoop van $3.1M aan PEPE Tokens
De Lazarus Group, een door de staat gesponsorde hackcollectief uit Noord-Korea, heeft op 12 maart 2025 400 ETH overgedragen aan het privacy-instrument Tornado Cash, volgens blockchain-beveiligingsfirma Certik. Er wordt aangenomen dat de fondsen afkomstig zijn van de aanval op cryptocurrency-uitwisseling Bybit op 21 februari 2025, waarbij meer dan $1,4 miljard aan digitale activa verloren ging — de grootste crypto-overval in de geschiedenis.
Analisten van Elliptic en Chainalysis schreven de aanval toe aan Lazarus, wijzend op hun geschiedenis van gerichte aanvallen op uitwisselingen voor financieel gewin. Onchain detective ZachXBT leidde het onderzoek om Noord-Koreaanse hackers als de belangrijkste verdachten te identificeren. Het platform van Bybit in Dubai werd gecompromitteerd door middel van social engineering-tactieken die zich richten op Safe Wallet-systemen, waardoor hackers een multi-signature cold wallet konden plunderen.
Na de diefstal converteerde Lazarus gestolen tokens naar ethereum via gedecentraliseerde uitwisselingsplatformen (DEX) voordat ze de fondsen naar mixers wegsluisden. Tornado Cash, een toegestaan door de VS gesanctioneerde gedecentraliseerde ethereum mixer in 2022, verdoezelt transactiesporen met behulp van zero-knowledge proofs, wat wetshandhavingsinspanningen bemoeilijkt.
Certik detecteerde de overdracht van 400 ETH en herleidde deze naar Bitcoin-netwerkadressen die gelinkt zijn aan Lazarus. Hoewel cross-chain activiteit directe toekenning bemoeilijkt, merkten onderzoekers op dat de timing overeenkomt met het witwaspatroon van de groep. Op vrijdag verklaarde onchain onderzoeker ZachXBT in: “Een met hoge mate van zekerheid Tornado Cash demix voor de diefstal onthult dat de DPRK op 11 maart 2025 437,6B PEPE ($3,1M) heeft gekocht na het opnemen van ETH van Tornado Cash.”
De overdracht toont de evoluerende tactieken van Lazarus, inclusief cross-netwerk witwassen en malwarecampagnes die ontwikkelaars via nep-Zoom-oproepen aanvallen. Amerikaanse autoriteiten schatten dat Tornado Cash sinds 2019 meer dan $7 miljard aan illegale fondsen heeft verwerkt, waaronder ongeveer $455 miljoen verbonden aan Lazarus. Een federale rechtbankuitspraak in november 2024 heeft de sancties tegen de mixer gedeeltelijk opgeheven, maar de juridische status blijft onderwerp van discussie.
Beveiligingsfirma’s waarschuwen dat Noord-Korea gestolen crypto gebruikt om zijn wapensprogramma’s te financieren. De Bybit hack alleen al overtreft de $610 miljoen Poly Network diefstal in 2021, wat de systemische kwetsbaarheden in de beveiliging van de industrie benadrukt. Op het moment van publicatie toont Arkham Intelligence data aan dat het hackcollectief ongeveer $1,18 miljard aan digitale activa bezit, met het grootste deel van hun portfolio in BTC.
