FBI đã xác nhận Lazarus Group – một nhóm tin tặc do Triều Tiên hậu thuẫn là đối tượng đứng sau vụ tấn công cầu Horizon của Harmony vào tháng 6/2022.
Horizon – một giao thức cross-chain phục vụ chuỗi khối Harmony đã bị khai thác vào ngày 24/6/2022 gây thiệt hại 99,7 triệu USD. Những lo ngại trước đây cho rằng cầu nối này quá tập trung, có nghĩa là bridge đặc biệt dễ bị tấn công bởi kỹ thuật social engineering attacks – một kiểu tấn công phổ biến của Lazarus Group. Kiểu tấn công tương tự đã xảy ra khi 540 triệu USD bị đánh cắp từ một cross-chain bridge Ronin vào đầu tháng 3/2022.
Sau khi đánh cắp tiền từ Horizon, Lazarus Group đã cấu trúc các giao dịch thông qua Tornado Cash, một giao thức trộn tiền phi tập trung dựa trên Ethereum. Các nhà nghiên cứu Elliptic cũng xác định Lazarus Group từng sử dụng Tornado Cash để che giấu tiền bẩn thu được từ vụ hack Ronin Network.
Các lệnh trừng phạt của Mỹ
Tornado Cash sau đó đã bị Bộ Tài chính Mỹ trừng phạt vào tháng 8/2022. Nghiên cứu của Elliptic cho thấy Lazarus Group đã gửi hơn 555 triệu USD thông qua Tornado Cash từ những vụ hack, bao gồm hơn 468 triệu USD từ vụ Ronin và 96 triệu USD từ vụ Harmony. Hoạt động liên quan đến Triều Tiên chiếm khoảng 5.8% trong tổng số gần 9 tỷ USD được gửi qua máy trộn Tornado Cash cho đến nay.
Railgun
Vào tháng 1/2023, Lazarus bắt đầu cấu trúc tiền thành một số khoản tiền gửi thành một giao thức DeFi dựa trên quyền riêng tư có tên Railgun, có chức năng tương tự như các máy trộn tiền.
Nghiên cứu của Elliptic cho thấy rằng một phần đáng kể các quỹ – ước tính khoảng 70% – đã được gửi qua Railgun cho đến nay là tiền từ vụ hack Harmony. Điều này cho thấy rằng kể từ khi OFAC trừng phạt Tornado Cash, Triều Tiên có thể đang chuyển sang các dịch vụ này như một giải pháp thay thế.
Tuy nhiên, tiền từ vụ Harmony bao gồm một khối lượng đáng kể Ether đi qua Railgun đã khiến việc trộn tiền trở nên không hiệu quả.
Dữ liệu trên chuỗi cho thấy sau khi gửi tiền qua Railgun, Lazarus Group đã gửi tiền vào 2 sàn giao dịch tiền mã hóa là Binance và Huobi, hai sàn giao dịch này đã thông báo họ đã xác định, ngăn chặn và thu giữ một phần tiền.
Trường hợp này cho thấy tầm quan trọng của các sàn giao dịch tiền mã hóa sử dụng các giải pháp phân tích blockchain nhằm xác định các giao dịch liên quan đến các dịch vụ trộn tiền bị lạm dụng bởi các tác nhân như Triều Tiên.
