ZachXBT разоблачает последнюю кражу группы Lazarus, в которой похищено $3,1 млн из кошелька пользователя Tron.

Подозрения на северокорейских хакеров в краже 3,1 миллиона долларов

28 февраля 2025 года нападение было направлено на неустановленную жертву. Украденные средства были перемещены с Tron на Ethereum и отмыты с помощью инструмента микширования Tornado Cash. ZachXBT отметил, что в записях блокчейна указано, что хакер переместил 96 партий по 10 ETH, четыре партии по 100 ETH, 78 партий по 1 ETH и пять меньших сумм, в общей сложности более 3,1 миллиона долларов.

ZachXBT проследил кражу до двух адресов: “TYQ34” на Tron и “0xcce” на Ethereum. Он заявил, что последний кошелек был помечен в фишинговой атаке на руководителя Fantom Foundation в 2023 году, связанной с Группой Лазаря по отчету ООН в марте 2024 года.

Повторное использование адреса эфира обеспечило критическую связь с Группой Лазаря, которую ООН связала с крипто-кражами, предположительно финанcирующими программы вооружений Северной Кореи. Группа обвиняется в краже миллиардов, включая огромное нарушение Bybit на 1,4 миллиарда долларов на прошлой неделе.

Последнее ограбление имеет операционные параллели с прошлыми кампаниями Лазаря, включая быструю фрагментацию средств и использование межцепочечных мостов для сокрытия следов. Микшеры и децентрализованные платформы обмена (DEX) остаются предпочтительным инструментом отмывания для группы, несмотря на некоторые заморозки и препятствия.

Личность жертвы и метод взлома остаются неизвестными. Компании по кибербезопасности и наблюдатели в цепочке призывают к повышенному вниманию к spearphishing, отличительной черте тактики группы. Более того, после отслеживания множества транзакций, ZachXBT объяснил на этой неделе, что хакерская организация Северной Кореи связана с четырьмя различными крупными взломами централизованных обменников (CEX), включая Bybit, Poloniex, Phemex и Bingx.