Za krádeží z non-kustodiální kryptopeněženky Atomic Wallet, nad kterou se protáčejí panenky, nestojí nikdo menší než legendární a obávaná severokorejská APT skupina Lazarus Group.
S touto tezí alespoň v úterý definitivně (po podezření z minulého týdne) přišla blockchainová forenzní společnost Elliptic. Ta zároveň přinesla nový odhad celkových ztrát uživatelů peněženky. Ti měli kvůli ztraceným kryptoměnám přijíto částku převyšující 100 milionů dolarů. Největší známá individuální ztráta nejmenovaného uživatele dělá 7,95 milionu dolarů (asi 175 milionů korun).
Pokud je tato teze pravdivá, jde o první velkou kryptokrádež, kterou má Lazarus Group na svědomí od taktéž stomilionového hacku Horizon Bridge. Ten se symbolicky odehrál přesně před rokem, tedy v červnu 2022.
Provozovatel non-kustodiální peněženky 3. června potvrdil, že obdržel zprávy o napadení peněženek některých uživatelů, a uvedl, že bylo napadeno méně než 1 % jeho aktivních peněženek. Toto číslo bylo pravděpodobně podhodnocené, další aktualizace zatím ovšem neposkytl.
Ellipticu se podařilo shromáždit poměrně velké množství peněženek obětí hacku, konkrétně se jednalo asi o pět a půl tisíce peněženek. Pak již stačilo vše prohnat nástrojem na blockchainovou analýzu, v daném případě to byl Elliptic Investigator, a celkový obraz se začal skládat.
At the moment less than 1% of our monthly active users have been affected/reported. Last drained transaction was confirmed over 40h ago.
— Atomic - Crypto Wallet (@AtomicWallet) June 5, 2023
Security investigation is ongoing. We report victim addresses to major exchanges & blockchain analytics to trace and block the stolen funds.
„Naše transakční analýza akcí zloděje nás vede k tomu, že tento hackerský útok s vysokou mírou jistoty připisujeme severokorejské skupině Lazarus Group,“ uvádí společnost a vysvětluje dále:
„Vede nás k tomu souhra řady faktorů. Praní ukradených kryptoaktiv probíhá podle pořadí kroků, které přesně odpovídají krokům použitým k praní výnosů z minulých hackerských útoků, které měla Lazarus Group na svědomí. Ukradená aktiva jsou praná pomocí specifických služeb, včetně mixéru Sinbad, které byly rovněž použity k praní výnosů z minulých hackerských útoků skupiny.“
„Je dokonce možné, že ukradená aktiva byla smíchána v peněženkách, v nichž jsou uloženy výnosy z předchozích hackerských útoků spáchaných Lazarus Group,“ dodává dále. Malé procento ukradených prostředků (zhruba v hodnotě jednoho milionu dolarů), které zamířily na centralizované burzy, se následně podařilo zmrazit. Skupina zareagovala tím, že změnila své chování a nyní se prý pokouší ukradené prostředky vyprat především prostřednictvím sankcionované ruské kryptoměnové burzy Garantex.
Pokud jde o samotný Lazarus, severokorejským státem sponzorovaná hackerská skupina podle Ellipticu již za svoji kariéru uloupila digitální aktiva v hodnotě více než 2 miliardy dolarů.
Skupinu také loni vláda Spojených států označila za viníka loňského rekordního kryptohacku, ke kterému došlo v březnu. Protokol Ronin, který funguje jako druhá transakční vrstva za časů covidové pandemie velmi populární play to earn hry Axie Infinity, během něho utrpěl krádež, při které zmizely kryptoměny za více než 600 milionů dolarů. Pozoruhodné na celé události bylo také to, že si provozovatelé sítě pět dní ničeho nevšimli a na problém je upozornil až uživatel, kterému se nedařilo vybrat ze sítě vložené prostředky (5000 ETH).
Útočník odhalil slabinu umožňující zmocnit se privátních klíčů validátorů sítě Roninu. Díky nim si odemkl přístup ke zhruba 173 600 etherům a 25,5 milionu dolarů ve stablecoinu USDC. Prostředky následně ve dvou separátních transakcích převedl pryč. Tím byly dosaženy hned dva rekordy: došlo do té doby k největšímu hacku v historii decentralizovaných financí a zároveň šlo o jednu z největších kryptoměnových krádeží historicky vůbec.
Útočník získal kontrolu nad klíči tak, že nejprve ovládl čtyři nody patřící přímo Sky Mavis a následně se zmocnil pátého prostřednictvím třetí strany v podobě Axie DAO. V síti, která sestávala z pouhých devíti validátorů, tak získal kritickou většinu, jejíž klíče stačily k potvrzení libovolného vkladu či výběru kryptoměn. Důvod, proč síti stačil podpis relativně malého počtu validátorů, je ten, že v počátcích sítě některé nody nestíhaly a zasekávaly se ve stavu synchronizace. Útok byl odhalen teprve 28. března, a to náhodou, ačkoli proběhl už 23. března.
Lazarus, jinak též označovaný jako pokročilá trvalá hrozba APT 38, operuje od roku 2009 a údajně za ním stojí přímo hlavní severokorejská rozvědka – Reconnaissance General Bureau, také známá jako Chongch'al Ch'onggu nebo zkráceně RGB. Celkem podle odhadů země zaměstnává okolo 7000 hackerů.
Zajímavé je, že samotný Lazarus se nevěnuje kryptoměnám od začátku, na chuť jim přišel až v roce 2017. Od té doby ale tvoří krádeže a vydírání spojené s kryptoměnami podstatnou část aktivit skupiny. Podle společnosti Checkpoint se zpočátku skupina specializovala na útoky vedené na Jižní Koreu a USA, dnes ale operuje prakticky po celém světě.
Skupina objevila zlatou žílu v kryptoměnách kolem roku 2018 a od té doby ukradla a vyprala každoročně kryptoaktiva za nižší stovky milionů dolarů. Mezi nejúspěšnější starší akce skupiny patří hack kryptoměnové burzy KuCoin z léta 2020, kdy skupina odcizila blíže nespecifikované kryptoměny za 280 milionů dolarů.
Problém úspěšných kryptoměnových „megakrádeží“ pochopitelně hackerům z APT38 komplikuje praní prostředků. Obzvlášť s tím, jak jí mizí pod nohama její oblíbené obfuskační nástroje. Kancelář amerického ministerstva dohlížející na zahraniční aktiva (OFAC) totiž například loni v srpnu přidala na svůj sankční list open source mixér kryptoměn Tornado Cash, který si v minulosti velmi oblíbila právě Lazarus Goup. To v praxi znamenalo de facto efektivní konec služby.
Způsob praní kryptoměn hackerskou skupinou se neustále vyvíjí, základní schéma nicméně alespoň ještě před rokem vypadalo tak, že se tokeny, stablecoiny a altcoiny nejprve směnily za ether prostřednictvím decentralizované burzy, ten byl následně prohnán mixovacími službami a opět na decentralizované burze směněn, tentokrát za bitcoin.
Následně byl mixérem prohnán pro změnu směněný bitcoin a ten postupně konsolidován na nových „čistých“ adresách. Konsolidované bitcoiny dále mířily na klasické centralizované kryptoměnové východní burzy, zpravidla v Asii, odkud může potenciálně probíhat výběr prostředků (typicky v čínském jüanu), nebo další krok v očistném procesu – kryptoměny, které projdou burzou, nemají z pohledu blockchainové forenzní analýzy svoji původní problematickou historii. Zdaleka ne všechny prostředky se ale Severokorejcům daří vyprat, a to dlouhodobě, zbytek kryptoměn pak tiše na peněženkách čeká na vhodnou příležitost.
ČLÁNKY DO MAILU