North Korean hackers laundered $100 million in crypto using new mixing service

ブロックチェーンアナリストによって発見された証拠によると、北朝鮮のハッカーは、米国が課した制裁を回避して、強盗からの暗号通貨の収益を洗浄する方法を見つけました。

攻撃者として一般的に言及される Lazarus Group は、2022 年 10 月以降、Sinbad と呼ばれる単一の暗号混合サービスを通じて、盗まれたビットコインで約 1 億ドルを洗浄しました。

大規模な暗号強盗の背後にあるラザロ

昨年、米国財務省の外国資産管理局 (OFAC) は、仮想通貨ミキシング サービスの Blender と Tornado Cash に対する制裁を発表しました。これは、Lazarus が違法に取得した 5 億ドル近くの仮想通貨をマネーロンダリングするために使用したものです。

この措置は、後に北朝鮮の Lazarus グループに起因するハッキングで、Axie Infinity のクロスチェーン ブリッジから6 億ドル以上の暗号資産が盗まれた後に行われました。

ハッカーはしばしば仮想通貨ミキサー/タンブラーを使用します。これは、有料で、より多くのユーザーの資産をブレンドすることで、資金の出所と所有者を隠すことができるためです。

Blender クリプトミキサー
Blender 仮想通貨ミキシングサービス
ソース: 楕円形

OFAC の制裁は Tornado Cash を止めませんでしたが、彼らはミキサーから約 2200 万ドルのビットコインを盗んだと伝えられた後、そのオペレーターが姿を消した Blender を止めました。

ブロックチェーン分析会社Ellipticによると、Blender のオペレーターは 2022 年 10 月初旬に Sinbad と呼ばれる新しいサービスを開始した可能性が非常に高く、Lazarus が資産洗浄に使用しています。

新しいミキサーへの切り替え

Elliptic の共同創設者で主任科学者のTom Robinson 氏は、2022 年 6 月に約 1 億ドルの損失をもたらした Harmony Horizon 暗号強盗の後にこの接続が発生したと語っています。

ハッキングの直後、Elliptic は、Tornado Cash ミキシング サービスを通じて資金を追跡することで、 今年初めに FBI が確認したLazarus との強力なリンクを発見しました

通常、攻撃者は Tornado Cash の仮想通貨混合と、Blender のような保管ベースのサービスを組み合わせました。今回は、シンバッドと呼ばれる別のビットコイン ミキサーを使用しました。

シンドバッド暗号通貨ミキサー
シンドバッド暗号通貨ミキサー
ソース:

ロビンソン氏によると、シンドバッドのサービスは「比較的小さい」ものの、ラザルス グループによって盗まれた資金を洗浄するために使用されています。

「Horizon やその他の北朝鮮関連のハッキングによる数千万ドルが現在まで Sinbad を通過しており、現在も継続しており、新しいミキサーに対する自信と信頼を示しています」 – Elliptic

Blender と Sinbad ミキサー間の強力なリンク

Tornado Cash とは異なり、Blender と Sinbad はどちらもカストディアル ミキサーです。つまり、サービスに投入されるすべての暗号通貨はオペレーターの管理下にあります。そのため、所有者は資金の管理を放棄するのに十分な自信を持っています。

Elliptic の分析は、Sinbad が Blender の背後にいたのと同じ個人またはグループによって運営されていることを高い信頼性で示しています。

研究者は、Sinbad サイトの「サービス」アドレスが、Blender の運営者のものと思われるウォレットからビットコインを受け取ったことを発見しました。

同じウォレットが、新しいクリプト ミキサーを宣伝するための支払いと、Sinbad に送られるほぼすべての初期トランザクションの資金、約 2,200 万ドルに使用されました。

ブロックチェーン トランザクションは、Blender と Sinbad クリプト ミキサー間のリンクを明らかにします
ソース: 楕円形

ウォレットとは別に、研究者は、トランザクションの特定の特徴を含む、両方のミキサーの同様のオンチェーン パターンの動作にも気付きました。

「Sinbad ミキサーの動作方法は、10 桁のミキサー コード、サービス アドレスによって署名された保証書、最大 7 日間のトランザクション遅延など、いくつかの点で Blender と同じです」 – Elliptic

研究者が観察したその他の共通点には、ウェブサイトの強い類似性、命名規則の使用、言語、および「ロシア語のサポートとウェブサイトによるロシアとの明確な結びつき」が含まれます。

1 つのグループと呼ばれていますが、Lazarus は、国家レベルの優先事項と目的をサポートするために情報を収集し、金を盗むことを政府から任されている複数の北朝鮮のオペレーターを定義しています。

北朝鮮の脅威アクターは、暗号通貨取引所を標的にするだけでなく、米国と韓国の医療機関に対して、いくつかのロッカー株を使用したランサムウェア攻撃にも関与しました。