哥倫比亞特區檢察官最近提出的兩大沒收起訴行動,揭露出關於北韓加密貨幣駭客如何洗錢的新細節,此時,美國政府正尋求查扣在兩件重大駭客攻擊中失竊的 267 萬美元加密貨幣。
在上周五首度提出的沒收起訴,目的是要追討價值約 170 萬美元的 USDT,這些 USDT 是來自北韓駭客組織 Lazarus 在 2022 年 11 月對加密貨幣衍生品交易所 Deribit 進行 2,800 萬美元駭客竊盜事件、並透過 Tornado Cash 混幣器洗錢的一部分;此外,美國政府還要追討當前價值約 97.1 萬美元、 15.5 枚的 (BTC.b),這些幣是 Lazarus Group 對線上加密貨幣賭場 Stake.com 進行駭客攻擊,到手 4,100 萬美元的一部分。
在這兩件案子中的首件,是關於 Lazarus 集團透過加密貨幣混合器 Tornado Cash,對該組織針對 Deribit 進行駭客攻擊後的所得進行洗錢。 Tornado Cash 是即將登場的洗錢審判核心,這也是加密貨幣提倡人士關注的重點。
在 Lazarus 集團竊得並進行洗錢的 2,800 萬美元資金中,執法單位能夠追討回其中的一部分。這個北韓駭客組織是取得 Deribit 的熱錢包訪問權限、把資產交換到以太坊並透過 Tornado Cash 發送,最終轉換為在 Tron 區塊鏈上的 USDT 。
執法官員是透過 Tornado 追蹤到這些資金,原因是他們注意到在特定以太坊錢包上有類似之處。這些錢包接收到轉帳匯款的時間很相近,相隔就只有幾分鐘而已,而且這些轉帳都是利用很類似的跨鏈橋,從同一位址接收到交易費用,而且最終到了同一位址匯聚再一起。
駭客試圖分三批把以太坊資產轉換為 USDT,不過前兩次的嘗試洗錢,遭到執法部門凍結一些可疑資金。駭客進行第三次嘗試,成功把剩下來的資金洗淨,這使得執法單位從五個相關錢包凍結的 USDT 剩下約 170 萬美元。
至於第二個案子,則是有關 Lazarus 集團針對線上賭場 Stake.com 進行駭客攻擊竊得 4,100 萬美元,接著嘗試分三階段洗錢,包括透過 Avalanche 的跨鏈橋將資金轉成比特幣、透過混幣器 Sinbad 和 Yonmix 挪移被偷的比特幣,最後再把比特幣換成 USDT 等穩定幣。相關資金在第一階段、第三階段遭到凍結,很可能是透過 Avalanche 跨鏈橋提出資產凍結請求。
在第一階段,執法單位凍結七筆交易的資產,這些交易通常涉及把被偷走的資產轉換成 Polygon(MATIC)、幣安幣(BNB)這類原生幣,接著透過 Avalanche 跨鏈橋再轉成比特幣。
然而,文件指出,雖然政府插手,但北韓駭客依然能把將大部分被竊取的資金轉移到比特幣區塊鏈上。
在被竊取的資金轉換成比特幣後,駭客就會利用混幣器 Sinbad 、 Yonmix,進一步混淆被偷資金的流動。文件顯示,「執法單位透過兩種混合服務追到被竊取資金流向北韓駭客洗錢過程的下一階段」,不過,儘管確定了最終整合的錢包,但官員們只能額外追回 0.099 枚比特幣 ,目前市價約 6,270 美元。
雖然執法部門已經提高了追蹤和查扣非法加密貨幣的能力,但 Lazarus 集團依然活躍,最近還被指控攻擊了印度加密貨幣交易所 WazirX,竊走 2.3 億美元。