ZachXBT avslører Lazarus-gruppens siste $3,1M kupp som tømte en Tron-brukers lommebok

Nordkoreanske hackere mistenkt for $3,1M utnyttelse

28. februar 2025-angrepet rettet seg mot et uidentifisert offer, med stjålne midler brodert fra Tron til Ethereum og hvitvasket gjennom personvernblandingverktøyet Tornado Cash. ZachXBT merket seg at blokkjededata viser at hackeren flyttet 96 partier av 10 ETH, fire partier av 100 ETH, 78 partier av 1 ETH, og fem mindre inkrementer som totalt utgjorde over 3,1 millioner dollar.

ZachXBT sporet tyveriet til to adresser: “TYQ34” på Tron og “0xcce” på Ethereum. Kjedenettetterforskeren sa at den sistnevnte lommeboken hadde blitt flagget i et phishing-angrep rettet mot en Fantom Foundation-sjef i 2023, tilskrevet Lazarus-gruppen av en FN-rapport i mars 2024.

Gjenbruket av ether-adressen ga en kritisk kobling til Lazarus, som FN knyttet til kryptotyverier som angivelig finansierer Nord-Koreas våpenprogrammer. Gruppen er anklaget for å ha stjålet milliarder, inkludert forrige ukes massive Bybit-brudd på 1,4 milliarder dollar.

Den siste ranens operasjonelle paralleller til tidligere Lazarus-kampanjer, inkludert rask fragmentering av midler og avhengighet av tverrkjede brobygging for å skjule spor. Blandere og desentralisert utvekslingsplattformer (DEX) forblir det foretrukne verktøyet for hvitvasking for gruppen til tross for noen fryser og hindringer.

Offerets identitet og metode for infiltrasjon forblir uklar. Cybersikkerhetsfirmaer og kjedeobservatører oppfordrer til økt årvåkenhet mot spydfisking, et kjennetegn ved gruppens taktikker. Videre, etter å ha sporet store mengder transaksjoner, forklarte ZachXBT denne uken at den nordkoreanske hackergruppen er knyttet til fire forskjellige store sentraliserte utvekslingsangrep (CEX), inkludert Bybit, Poloniex, Phemex og Bingx.