加密貨幣交易所 Bybit 21 日遭北韓駭客組織 Lazarus Group 攻擊,導致約 50 萬枚 ETH 被盜, Elliptic 今日分析,按照過去洗錢模式,該組織下一步很可能會使用混幣器來掩蓋資金流向,Bitrace 則警告,未來若干個月內,即將出現針對 OTC 群體與加密支付公司的大規模凍結潮。
(前情提要:Bybit竊案後》Safe多簽錢包暫停支援Ledger:將實施額外交易檢查,逐步恢復服務)
(背景補充:Bybit 駭客用 Pump.fun「發迷因幣洗錢」遭官方盯上,仍持有超 46 萬枚 ETH 贓款)
加密貨幣交易所 Bybit 21 日遭駭合計約 50 萬枚 ETH、stETH、cmETH 和 mETH(價值 14.6 億美元),成為加密貨幣史上最大竊案,區塊鏈安全公司 Elliptic 今日撰文指出,這起 Bybit 竊案是北韓駭客組織 Lazarus Group 所為。
駭客下一步可能使用混幣器
Elliptic 表示,Lazarus Group 的洗錢過程通常遵循固定模式,主要分為兩步,第一步是將被盜資金轉換為原生區塊鏈資產,像是 ETH,因為許多代幣的發行方有能力凍結遭竊資金,ETH 沒有中心化機構控制,無法被凍結,因此成為駭客首選資產。
此次 Bybit 遭駭後數分鐘內,數億美元的 stETH、cmETH 等代幣就被迅速兌換為 ETH,駭客選擇 DEX 來進行兌幣,以避免使用中心化交易所時可能遭遇凍結風險。
Elliptic 進一步指出,Lazarus Group 的第二步就是透過分層交易手法來隱藏資金流向,以拖延調查時間,爭取機會將資金變現,這些手法包括:
- 將資金拆分並轉入大量不同的加密貨幣錢包
- 透過跨鏈橋將資金轉移至其他鏈
- 透過 DEX、CoinSwap 服務或交易所轉換成不同加密資產
- 使用混幣器,如 Tornado Cash 或 Cryptomixer 來掩蓋資金來源
Elliptic 表示,駭客目前正逐步將 ETH 轉換為 BTC ,主要透過 eXch (eXch 是允許用戶匿名兌換加密資產的交易所)等平台,若按照過去的洗錢模式,下一步很可能會使用混幣器來進一步掩蓋交易路徑,但由於此次竊取資金規模龐大,可能會對混幣器運作造成挑戰。
自 Bybit 遭駭以來,駭客已透過 eXch 兌換數千萬美元的被盜資產,Bybit 曾向 eXch 提出請求,要求攔截被盜資金,但遭到拒絕,eXch 稱鑑於過去一年 ByBit 對該平台的直接攻擊,很難理解此時的合作期望。
OTC 與支付商大規模凍結潮將至?
與此同時,Bitrace 發文警告,在 Bybit 遭遇 15 億美元駭客攻擊後,未來若干個月內,即將出現針對 OTC 群體與加密支付公司的大規模凍結潮。
Bitrace 研究顯示,駭客組織除了使用無許可的行業基礎設施進行資金清洗外,還會大量使用中心化平台進行傾銷,這直接導致大量故意或非故意收取贓款的交易所使用者帳戶被風控,OTC 商與支付機構的業務地址被泰達凍結。
Bitrace 指出,2024 年日本 DMM 交易所遭駭客攻擊後,攻擊者將 6 億美元資金轉移至支付機構 HuionePay,致使其熱錢包中 2900 萬美元被凍結,2023 年 Poloniex 遭攻擊損失超 1 億美元,駭客通過場外交易清洗資金導致大量 OTC 商戶業務受阻,或者用於存放業務資金的交易所帳戶被風控:
這也為我們敲響了警鐘,是時候重視 Crypto 反洗錢意識與 KYT (Know Your Transaction)程序了。
📍相關報導📍
Bybit 懸賞 10% 追回失竊資金、混幣器 eXch 拒絕攔截被盜資產惹議
