6月23日,Harmony链和以太坊之间的Horizon跨链桥遭受多次恶意攻击。由于所有者私钥泄漏,导致Harmony链上将近1亿美元等值的虚拟资产被盗。被盗后资金一直停留在攻击者地址:0x0d043128146654C7683Fbf30ac98D7B2285DeD00。
ChainAegis与6月28日监测到,攻击者地址开始分批次分步骤转换转移盗取的资金,目前已有过半数资金转移至黑客常用混币协议:Tornado.Cash中。按照监测流程,ChainAegis使用图谱工具对资金流向链路进行追踪,发现攻击Harmony黑客的洗钱模式与攻击Ronin Network黑客的洗钱模式存在高度一致性,攻击者可能来自朝鲜黑客组织Lazarus。
图 1Harmony攻击者洗钱路径全景图
(资料图片仅供参考)
图 2Ronin Network攻击者洗钱路径全景图
通过全景图不难看出,两个攻击事件后续的洗钱模式高度一致,均经历了三个大的步骤:
1.被盗资金整理兑换:发起攻击后整理原始被盗代币,通过dex等方式将多种代币swap成ETH,这是规避资金冻结的常用方式;
2.被盗资金归集:将整理好的ETH归集到数个一次性钱包地址中,Ronin事件中黑客一共用了9个这样的地址,Harmony目前使用了7个,转移了70%左右的资金,估计最终数目也会在9个左右;
3.被盗资金转出:使用归集地址通过Tornado.Cash将钱洗出。
使用ChainAegis图谱向右扩展的功能,可以从更细致的分步骤对比两次洗钱操作:
Harmony事件:
第一步:攻击发起+代币整理
第二步:资金归集
第三步:Tornado.Cash洗钱
Ronin Network事件:
第一步:攻击发起+代币整理(这里直接就是ETH)
第二步:资金归集
第三步:Tornado.Cash洗钱
通过ChainAegis图谱的自动布局功能,我们还可以从多个维度审视整个洗钱链路,不难发现两个事件中黑客采用的洗钱模式几乎一模一样:
图 3Ronin Network breathfirst视图
图 4Harmony breathfirst视图
除了具备相同的洗钱模式,在洗钱的细节上二者也有高度的一致性:
1.攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在时间发生几天后开始后续洗钱动作,可以推测即使资金进入Tornado.Cash,攻击者也不会急于提现,以防止通过提币模式比对识别出最终的资金流向地址;
2.洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一;
通过高度相似的资金动账模式,ChainAegis判断两个事件的攻击者来自同一团队。在Ronin事件发生数周后,美国财政部表示,“美国已将朝鲜黑客团体LAZARUS 集团与游戏Axie Infinity相关的价值6.1亿美元的加密货币盗窃案联系了起来”。4月14日,美国外国资产控制办公室(OFAC) 对于针对朝鲜的SDN(特别指定国家和被封锁人士) 列表(也就是常说的制裁名单)进行了更新,在LAZARUS集团相关条目下,增加了此前Ronin官方声明中公开的数字货币地址。根据路透社的报道,对于Ronin盗窃事件,美国财政部发言人表示,“美国意识到朝鲜越来越依赖非法活动——包括网络犯罪逃避美国和联合国的严厉制裁”,并警告称,任何与相关地址产生交易行为的账户都有可能登上美国的制裁名单。
鉴于美国官方的相关动作,我们基本可以判断,Harmony跨链桥被攻击事件是朝鲜黑客组织Lazarus的又一次攻击行动。在短短三个月内,该组织可能已经通过攻击行动获利超过7亿美金。Lazarus对西方加密金融的攻击可以追溯到2020年。2020 年 9 月,朝鲜黑客组织Lazarus黑进了一家斯洛伐克小型加密货币交易所,盗取了价值约 540 万美元的虚拟货币。这是Lazarus的一连串黑客行为之一,华盛顿称其目的是为朝鲜的核武器计划提供资金。值得注意的是,当时他们的洗钱工具还没有采用TornadoCash,而是使用了币安。随着各大交易所KYC合规的不断推进,TornadoCash这种去中心化匿名交易协议成了黑客洗钱的首选工具。