Phân tích cho thấy vụ hack Harmony là thành quả của Lazarus Group, nhóm được Triều Tiên hậu thuẫn đứng sau vụ hack Axie Infinity trị giá 622 triệu USD tương tự.
Sau khi tin tặc đánh cắp 100 triệu USD crypto từ Harmony Protocol vào thứ Sáu, đội ngũ Harmony đã thông báo treo thưởng 1 triệu USD cho bất kỳ ai có thông tin về tin tặc.
Tính đến trưa nay, một nghi phạm cầm đầu đã lộ diện.
Theo một báo cáo được công bố ngày hôm nay bởi công ty phân tích blockchain Elliptic, cách thức đánh cắp và rửa tiền cho thấy có sự tham gia của Lazarus Group, một tổ chức tội phạm mạng khét tiếng có liên quan đến Triều Tiên.
Vào tháng 4, chính phủ Mỹ kết luận rằng Lazarus, một “tổ chức hack được nhà nước bảo trợ”, đứng sau vụ hack 622 triệu USD của Axie Infinity. Các cầu cross-chain kết nối các blockchain và thường được sử dụng để liên kết các sidechain (như Axie’s Ethereum sidechain Ronin), có thể cung cấp tốc độ và phí giao dịch thấp hơn trước khi chuyển trở lại các blockchain an toàn hơn như Ethereum mainnet.
Vụ hack của Harmony cũng xảy ra tương tự trên cây cầu Horizon, một cây cầu cross-chain kết nối Harmony với Ethereum, Binance Chain và Bitcoin. Báo cáo của Elliptic ghi nhận những điểm tương đồng giữa cả hai cuộc tấn công cầu cross-chain là một dấu hiệu cho thấy có khả năng Lazarus liên quan.
Cách thức hacker thực hiện cuộc tấn công, thông qua kỹ thuật xã hội, cũng ám chỉ đến các vụ hack Lazarus trước đó. Cuộc tấn công Harmony cũng lặp lại vụ hack Axie Infinity ở chỗ các khoản tiền bị đánh cắp đã được rửa theo một mô hình dưới dạng chuyển tiền tự động.
Báo cáo cho biết: “Mặc dù không có yếu tố nào chứng minh sự tham gia của Lazarus, nhưng kết hợp lại, chúng cho thấy sự tham gia của nhóm này”.
Các yếu tố khác bao gồm việc nhiều thành viên trong nhóm Harmony có quan hệ với khu vực Châu Á Thái Bình Dương. Và Lazarus có xu hướng theo đuổi các mục tiêu ở Châu Á, có thể là do ngôn ngữ được sử dụng. Hơn nữa, lần duy nhất các tin tặc ngừng nạp tiền đã rửa là vào ban đêm ở khu vực Châu Á Thái Bình Dương.
Các khoản tiền cho đến nay đã được rửa thông qua dịch vụ trộn Tornado Cash. Dịch vụ này cho phép người dùng tập hợp một lượng đáng kể crypto và hoán đổi chúng lấy các đồng tiền khác nhau. Đây là một quy trình làm xáo trộn các đường mòn giao dịch và thường được sử dụng để rửa các token bị đánh cắp.
Elliptic đã có thể “xóa” dấu vết các giao dịch Tornado Cash của tin tặc Harmony trong trường hợp này và đã truy tìm số tiền bị đánh cắp chuyển vào một số ví Ethereum mới.
Mặc dù các sàn giao dịch và doanh nghiệp có thể sử dụng thông tin này để đảm bảo họ không chấp nhận bất kỳ khoản tiền nào bị đánh cắp. Nhưng thông tin này lại không cung cấp phương thức để Harmony thu hồi chúng.
Nguồn: Decrypt
