ФБР уличило северокорейских госхакеров в дерзкой краже криптовалюты на $100 млн
За атакой на кроссчейн-мост Horizon Bridge, принадлежащий фирме Harmony, стояли группировки Lazarus и APT38, утверждают в ФБР. Ранее об этом говорили и другие эксперты.Мы точно знаем, кто это сделал
Федеральное бюро расследований США (ФБР) заявило, что за атакой в 2022 г. на кроссчейн-мост Horizon Bridge стояли две северокорейские кибергруппировки — печально известная Lazarus Group и APT38. Считается, что обе тесно связаны с правительством КНДР (или просто состоят из сотрудников северокорейских спецслужб).
Исполнителям атаки удалось украсть порядка $100 млн в криптовалютах. Это одно из крупнейших подобных ограблений.
Horizon Bridge — это сервис, который позволял осуществлять транзакции между его родительским блокчейном Harmony и другими блокчейнами, в частности Ether (ETH), Tether (USDT) и Wrapped Bitcoin (wBTC).
По данным агентов ФБР, операторы атаки использовали некий вредонос TraderTraitor.
Проблемы с отмыванием
В начале января 2023 г., то есть спустя полгода после атаки, ее организаторы отмыли $60 млн в криптовалюте ETH через протокол приватности Railgun. Часть из этих активов была перенаправлена другим сервис-провайдерам и обменена на биткоины. Другая часть была заморожена, и еще некоторое количество — направлено на несколько разных криптокошельков, которые ФБР удалось идентифицировать.
Ранее власти США ввели санкции против криптомиксера Tornado Cash, который северокорейские хакеры использовали для отмывания краденых активов, и после этого им пришлось искать новые способы заметать следы.
Подозрения в том, что за атакой стояли агенты разведки КНДР, возникли почти сразу. В частности, фирма Elliptic, специализирующаяся на анализе блокчейнов, заявила, что смогла отследить атаку и подтвердить причастность Lazarus к ней, уже через несколько дней — в конце июня 2022 г. Так что ФБР по сути подтвердило более ранние выводы других экспертов.
Принято считать, что КНДР использует криптовалюты, в частности, для финансирования своих программ по разработке оружия массового поражения.
Атаке на Horizon Bridge предшествовало еще более успешное киберограбление другого кроссчейн-моста — Ronin, принадлежащего компании Axie Infinity. Добыча хакеров составила порядка $600 млн. Это крупнейший инцидент подобного рода в истории.
«Северная Корея в подобных ситуациях — первый подозреваемый, поскольку считается, что она использует криптовалюты как основной ресурс финансирования своих подсанкционных программ, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — К тому же Lazarus считается одной из самых продвинутых и квалифицированных кибергруппировок, так что у нее больше, чем у кого-либо, ресурсов для проворачивания таких операций».