Crypto、美国与朝鲜黑客
你知道在Crypto行业,涉案金额最多的黑客盗窃是哪一次吗?
上月末,知名链游Axie Infinity 的侧链项目 Ronin 在推特表示:Ronin Network验证者节点因遭黑客入侵,导致17.36 万枚 ETH 和 2550 万 USDC 被盗。在被发现时,这笔被盗资产价值高达6.15 亿美元,超过了去年PolyNetwork桥被盗的6.11亿,成为了整个Crypto史上涉案金额最大黑客盗窃案件。
我们先梳理一下整个事件的时间线:
3月23日,Ronin 验证器节点中5个节点遭到破坏,黑客进而取得了验证器签名数量的最低阈值,借此通过伪造签名从 Ronin 桥盗取了17.36万 个以太坊和 2550 万美元的 USDC。
3月29日,有用户反映无法从Ronin桥中提取5000ETH ,这时团队发现才发现资金被盗。
3月30日,Roniny与 Chainalysis 合作来监控被盗资金 ,同时与币安、FTX 等平台建立合作,希望能追回被盗资金。而黑客在完成盗取后,也分多次将资金转入以太坊隐私交易平台Tornado进行清洗。
4月6日,Ronin的背后团队Sky Mavis紧急融资1.5 亿美元,用于补偿受 Ronin 攻击影响的用户资金。
4月15日,美国财政部网站公布朝鲜黑客组织 Lazarus Group 是此次 Ronin Network被盗事件的背后推手,并将黑客地址列入了制裁名单,表示任何与受制裁地址进行交易的人都将面临美国制裁的风险。随即Tornado Cash 联合创始人 Roman Semenov 就宣布,将使用 Chainalysis 预言机合约从前端封锁该地址,使得地址无法访问 Tornado Cash。
至此,Ronin为围堵黑客,也建立起了一个前所未有的“反黑客联盟”,而黑客组织Lazarus的浮出水面,也让我们看到了Crypto行业资产安全问题的日渐突出。
臭名昭著的Lazarus
Lazarus Group,2009年诞生于朝鲜的一个黑客组织。
关于这个黑客组织的事迹,我们简单地列出几条:
2014 年 11 入侵索尼影业,造成大量数据泄露,包括所有上线和未上线的电影,以及大约 4,000 名员工的个人信息,索尼耗费了一年多时间才从此次事件的负面影响中走过来。
2015 年,Lazarus从厄瓜多尔的 Banco del Austro 盗取1200 万美元;2016年2月,从孟加拉国央行手中偷走了8100万美元,创造了有史以来最大的银行抢劫案。
2017年,Lazarus集团据报从台湾远东国际银行盗窃了6000万美元。这一年,一款名为Wannacry勒索病毒感染了全球150 个国家的近 30万台计算机,严重影响到了全球金融、医疗、交通等诸多行业的正常运作,而病毒的幕后黑手就是Lazarus。
同样是在2017年,伴随比特币的暴涨,Lazarus开始正式进入Crypto行业,当时,美国网络安全公司Secureworks的反威胁部门报告:Lazarus的犯罪集团正在进行一项新的计划——窃取比特币行业内部人士的在线信息,之后,Lazarus在加密行业开始“大展拳脚”。
在Lazarus进入Crypto后不久,诸如Youbit ,Bithumb,DragonEx、BiKi、Cryptopia、Etbox、Coincheck等交易平台相继沦陷,据区块链数据分析公司 Chainalysis 统计,Lazarus 在 2017 年至 2020 年期间共盗取了约 17.5 亿美元的加密货币。在2018年,在加密货币交易所被盗的这一段历史进程中,Lazarus占据了总份额的58%。
俄罗斯网络安全公司卡巴斯基指出,自2017年以来,Lazarus的在Crypto领域的足迹遍布中国、印度、俄罗斯、新加坡、美国、乌克兰、越南等数十个国家,并概述了Lazarus入侵Crypto企业的常用手段:“攻击者将带有监视功能的全功能Windows后门伪装成合同或其他商务文档,巧妙利用目标公司雇员的信任,诱使他们收下这些暗藏玄机的恶意文件,从而收集到核心信息”,此次Ronin的盗窃案件也是源于验证节点关键信息的泄露。
如何清洗9100万加密资产?
2021 年 8 月 ,加密货币交易所 Liquid.com宣布:因未经授权的用户获得了对 Liquid 管理的部分加密货币钱包的访问权限,导致67 个不同的 ERC-20 Token,以及大量的ETH和比特币被盗,共计约9100万$,盗窃者正是Lazarus。
事后,Chainalysis还原了Lazarus是如何清洗这9100万美元资产的过程。
首先,Lazarus会使用DEX将各种 ERC-20 代币换成ETH,之所以这样做是因为诸如USDC/USDT等稳定币存在黑名单制度,可以直接冻结特定地址的资金,在此次Ronin事件中,黑客在第一时间将2550万USDC全部兑换成了ETH,截至4月20日,被列入USDT的黑名单地址数多达631个。
其次,通过将ETH进行混币操作后,将资产发送到新钱包,然后在CEX和DEX兑换成BTC。
Lazarus的混币与兑换操作
最后, 将最终所得的BTC资产在各个交易平台或者以P2P的方式完成变现,以此完成了约 9100 万加密资产的清洗。这个流程同样被用到了此次的Ronin事件之上,在被列入制裁名单之前,本次被盗资金中已有约 18%(约 9700 万美元)通过上述方式在各种渠道完成了洗钱。
所不同的是,因为此次事件涉案金额过于巨大,在美国财政部的公开声明和制裁之下,很多提供混币服务的企业、DEX、CEX等都会针对制裁地址进行防范,也加大了黑客组织清洗资金的难度。
伴随Crypto市场的快速发展,也让黑客进一步加大了对加密行业的入侵,而行业本身的属性也为黑客提供了相比传统金融更隐匿、更大投入产出比的优势,让Crypto行业的安全问题日渐突出。
为什么黑客钟爱跨链桥?
我们纵观最近几次大的黑客盗窃案,你会发现他们都是出自同一个细分赛道——跨链桥,比如:此次的Ronin、去年涉案6.11亿$的PolyNetwork、今年2月3.25$亿的Wormhole跨链桥黑客盗窃等等,为什么黑客组织开始越来越喜欢跨链桥了呢?
随着不同公链生态的发展,资金在不同区块链之间的转换需求逐渐增多,跨链桥也随之兴起,它为用户提供便利的同时,也为黑客提供了另一扇大门。
首先,跨链桥涉及的资产往往都是巨大的,正所谓三年不开张开张吃三年,跨链桥对黑客来说就是块大肥肉;其次,因为涉及到不同链之间,不可避免会涉及链下的信息传递交互,这相比其他的链上应用,可能更容易寻找漏洞,实施入侵;第三,作为一个新生赛道,技术的不成熟和不规范也为黑客提供了更多的可乘之机。
据Chainalysis统计,在2021年总计有大约32亿美元的加密资产遭到盗窃,而在今年Q1季度,黑客从交易所、平台和私人实体就已经窃取13亿美元的资产,其中 97% 来自链上DeFi应用(包括DEX、借贷、跨链桥等)。
2015-2022加密资产盗窃数据统计
由于 DeFi 协议本身的去中心化和代码开源,黑客可以直接分析底层协议对一些漏洞加以利用,也能非常便利的进行资金的转移,所有这些区块链技术的优势,在黑客面前反而成就了他们的盗窃。
截至4月20日,该黑客钱包地址中还持有价值约 3.5 亿美元的ETH,并将 2.24 万枚 ETH 转移至 5 个新的链上地址(约 6700 万美元),现在,在一众的监视和围堵之下,Lazarus正在进行新的清洗尝试,这场黑客攻防战还未结束……
Scan QR code with WeChat