作者：Elliptic Research； 翻譯：金色財經0xjs

近期，朝鮮的精英黑客組織“Lazarus”似乎已經加大了其活動力度，自6月3日以來已經確認對加密實體進行了四次攻擊。現在，他們被懷疑已經進行了第五次攻擊，這次目標是CoinEx，攻擊發生在2023年9月12日。作爲回應，CoinEx發布了幾條推文，表明可疑的錢包地址仍在識別中，因此被盜資金的總價值尚不清楚，但目前估計約爲5400萬美元。

在過去的104天裏，Lazarus已經竊取了近2.4億美元的加密資產：Atomic Wallet（1億美元）、CoinsPaid（3,730萬美元）、Alphapo（6,000萬美元）和Stake.com（4,100萬美元）。

正如上圖所示，Elliptic的分析確認，從CoinEx被盜的部分資金被發送到一個地址，該地址被Lazarus組織用來洗錢，盡管使用的是不同的區塊鏈。在此之後，這些資金被橋接到以前由Lazarus使用的以太坊橋，然後發送回CoinEx黑客已知的地址。Elliptic曾經觀察到Lazarus在不同黑客事件中合並來自不同黑客事件的資金，最近一次是Stake.com和Atomic Wallet事件中合並的資金。這些資金合並的情況在下圖中以橙色表示。

鑑於這種區塊鏈活動，以及沒有信息表明CoinEx的黑客攻擊是由其他威脅組織進行的，Elliptic認爲應該懷疑Lazarus組織竊取了CoinEx的資金。

Lazarus 104天內五次攻擊

2022年，多起知名黑客攻擊被認爲來自Lazarus，包括Harmony的Horizon橋和Axie Infinity的Ronin橋，這些攻擊都發生在去年上半年。從那時到今年6月之間，沒有任何一起重大的加密貨幣盜竊事件被公开歸因於Lazarus。因此，過去104天內的各種黑客攻擊代表了這個朝鮮威脅組織活動升級的一步。

● 2023年6月3日，非托管的去中心化加密貨幣錢包Atomic Wallet的用戶損失了超過1億美元。Elliptic在2023年6月6日確認了這次黑客攻擊，當時識別到多個跡象表明是Lazarus組織所爲。這一歸因後來得到了FBI的確認。

● 2023年7月22日，Lazarus通過成功的社交工程攻擊獲得了加密貨幣支付平台CoinsPaid的熱錢包訪問權限。這一訪問權限使攻擊者能夠創建授權請求，從該平台的熱錢包中提取約3,730萬美元的加密資產。2023年7月26日，CoinsPaid發布了一份報告，聲稱這次攻擊是由Lazarus所爲。這一歸因後來得到了FBI的確認。

● 同一天，即2023年7月22日，Lazarus進行了另一次高調攻擊，這次攻擊針對的是中心化的加密貨幣支付提供商Alphapo，竊取了6,000萬美元的加密資產。攻擊者可能是通過之前被盜的私鑰獲得了訪問權限。與上述一樣，FBI後來將此次攻擊歸因於Lazarus。

● 2023年9月4日，在线加密貨幣菠菜平台Stake.com遭受了一次攻擊，大約竊取了價值約4,100萬美元的虛擬貨幣，可能是由於盜竊私鑰。FBI在9月6日發布了新聞稿，確認Lazarus組織是這次攻擊的幕後黑手。

● 最近，在2023年9月12日，中心化加密交易所CoinEx遭受了黑客攻擊，竊取了價值5400萬美元的資金。如上所述，許多因素表明Lazarus是這次攻擊的幕後黑手。

Lazaru改變策略？針對中心化加密機構

對Lazarus最新活動的分析表明，自去年以來，他們已經將注意力從去中心化服務轉向了中心化服務。前面提到的五起最近的黑客攻擊中，有四起是針對中心化虛擬資產服務提供商的。

有多種可能的解釋，可以解釋爲什么Lazarus的注意力可能再次轉向中心化服務。

● 安全性的增加：Elliptic之前的研究發現，2022年DeFi黑客事件中，每隔四天就會發生一次攻擊，每次攻擊平均竊取3260萬美元。跨鏈橋是2022年初較新的一種服務形式，成爲最常受黑客攻擊的DeFi協議之一。這些趨勢可能已促使智能合約審計和开發標准的改進，從而減少了黑客發現和利用漏洞的範圍。

● 社交工程攻擊容易性：對於他們的許多攻擊，Lazarus的攻擊方法選擇了社交工程。例如，對Ronin Bridge的54億美元黑客攻擊被歸因於一份虛假的領英職位邀請。然而，去中心化服務通常擁有較小的工作人員，並且正如其名稱所示，去中心化程度各不相同。因此，惡意訪問开發者不一定等於獲得對智能合約的管理訪問權限。而中心化交易所可能會運營更大規模的工作人員，從而擴大了潛在目標的範圍。它們還可能使用中心化的內部信息技術系統，使Lazarus惡意軟件更有機會滲透其業務的預期功能。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。