Elliptic: за взломом Harmony могут стоять хакеры из Северной Кореи

По словам аналитиков, эксплойт и тактика отмывания средств через микшер схожи с другими инцидентами, которые связывают с группировкой Lazarus

30.06.2022 - 11:00

831

4 мин

Что произошло? Аналитики компании Elliptic заявили, что за взломом моста Horizon в сети Harmony может стоять хакерская группировка Lazarus Group из Северной Кореи. Эксплойт был совершен путем компрометации криптографических ключей кошелька с мультиподписью, вероятно, с использованием методов социальной инженерии в отношении членов команды Harmony. Отмечается, что такой способ часто использовали хакеры Lazarus.

Блог Elliptic

Подробности расследования. В Elliptic выделили еще несколько причин, указывающих на то, что за взломом могла стоять северокорейская группировка. Lazarus имеет тенденцию сосредотачиваться на целях в Азиатско–Тихоокеанском регионе, возможно, по языковым причинам. Хотя Harmony базируется в США, многие члены основной команды имеют связи с этим регионом.

По данным специалистов, злоумышленники уже отправили более 35 000 ETH (39 млн долларов) через микшер транзакций Tornado Cash, это около 41% от украденных в результате эксплойта средств. Специалисты подчеркнули, что перевод продолжается.

По словам аналитиков, регулярность переводов позволяет допустить использование для этих целей автоматизированного ПО. Схожий метод специалисты наблюдали в ходе отмывания средств, украденных с сайдчейна Ronin, за взломом которого, предположительно, также стоят хакеры Lazarus. Тогда злоумышленники вывели более 625 млн долларов в криптовалюте. В Elliptic добавили, что периоды, в течение которых украденные средства перестают выводиться из Tornado Cash, соответствуют ночным часам в Азиатско–Тихоокеанском регионе.

Расследование взлома. Horizon подвергся эксплойту утром 24 июня. Хакеры вывели 100 млн долларов в криптовалюте, а после обменяли активы на бирже Uniswap. 26 июня разработчики Harmony предложили злоумышленникам 1 млн долларов за возврат остальных средств и информацию об использованной уязвимости, добавив, что в этом случае будут выступать против уголовного преследования. 28 июня в Harmony заявили, что сотрудничают с ФБР и аналитическими блокчейн-компаниями для расследования взлома. Позднее награду увеличили до 10 млн долларов и дали время на возврат украденных средств до 4 июля.