公鏈 Harmony 與以太坊的跨鏈橋「Horizon」上週遭駭客竊走 1 億鎂資產後,數據分析公司 Elliptic 昨日提出報告表示他們追蹤到匯入 Tornado 後的資金流向,並懷疑攻擊者就是北韓駭客組織:拉撒路(Lazarus Group)。
(前情提要:Horizon跨鏈橋1億鎂駭案》1.8萬枚ETH贓款已全數匯入Tornado,ONE跌至新低)
(背景補充:6.2億美金Ronin駭客攻擊,美財政部認定背後是「北韓駭客團體拉撒路」)
上週五(24 日)公鏈 Harmony 與以太坊之間的跨鏈橋「Horizon」遭到駭客攻擊損失約 1 億美元,據悉,目前 1 億美元贓款中已經有超過四成匯入了混幣器 Tornado Cash 以逃避後續金流的追蹤。不過據鏈上數據分析公司 Elliptic 昨(29)日的最新報告,該公司利用其針對 Tornado 的新分析技術,成功追蹤到被盜贓款後續轉移到一些新的以太坊錢包。
懷疑為北韓駭客組織 Lazarus Group 所為
Elliptic 在報告中還提到,他們分析此次 Horizon 跨鏈橋攻擊事件和隨後的洗錢行為後,懷疑幕後黑手就是受到國家資助的北韓駭客組織拉撒路集團(Lazarus Group),雖然還沒有明確證據,但 Elliptic 提出以下幾點理由來應證他們的懷疑:
- Lazarus Group 發起多項加密貨幣盜竊案、得手總額超 20 億美元;最近他們將注意力轉向了跨鏈橋等DeFi 服務,例如,美財政部今年四月份就認定認定該組織是 Ronin 跨鏈橋 6.2 億美金攻擊案的幕後黑手。
- Horizon 盜竊發生原因是因多簽名錢包的私鑰外洩所致,可能是對 Harmony 團隊成員發起的社交工程攻擊,這是 Lazarus Group 慣用的手法,與 Ronin 橋被時的攻擊方式相似。
- Lazarus Group 傾向於關注基於亞太地區的目標,也許是出於語言原因。雖然 Harmony 總部位於美國,但許多核心團隊成員都與亞太地區有關聯。
- 在很長一段時間內,向 Tornado 存款的規律性表明攻擊者正在使用一套自動化流程。我們觀察到這與 Ronin 橋被駭客入侵後的洗錢方式非常相似。
- 被盜資金停止從 Tornado 中轉移的時間與亞太地區夜間時間一致。
Harmony 再將賞金提高到 1,000 萬美元
原本 Harmony 官方上週宣布,若攻擊者願返還盜竊資金,將提供 100 萬美元賞金、且不會提出刑事訴訟;今日早上官方在更新資訊中進一步表示,將把賞金提高到 1,000 萬美元,同時明令最後期限是在格林威治標準時間 7 月 4 日23:00 之前。
不過假如攻擊者真的是 Lazarus Group,那追回被竊資金的可能性恐怕是微乎其微…。
4/ To the responsible actor: We are giving you until Monday, July 4th, 23:00 GMT to initiate communication.
— Harmony 💙 (@harmonyprotocol) June 30, 2022
