Lazarus wyprał 3,2 mln USD

Specjaliści od bezpieczeństwa kryptowalut ujawnili szczegóły ataku, w którym cyberprzestępcy powiązani z Koreą Północną ukradli i wyprali 3,2 miliona dolarów. Atak przeprowadzono 16 maja 2025 roku, opróżniając liczne portfele w sieci Solana. Wszystko wskazuje na to, że za operacją stoi beruchtigta grupa Lazarus.

Skradzione środki zostały błyskawicznie przekonwertowane i przeniesione do sieci Ethereum, a następnie część z nich "wyprano" przez kontrowersyjny serwis Tornado Cash. Cała operacja nosiła charakterystyczne znamiona wcześniejszych działań północnokoreańskich cyberprzestępców.

Hakerzy wykorzystali mosty blockchain - narzędzia umożliwiające transfer tokenów między różnymi sieciami kryptowalut. Skradzione tokeny zostały przepuszczone przez most i skonwertowane na Ethereum, co utrudnia ich śledzenie. 

Klasyczne metody prania pieniędzy

25 i 27 czerwca hakerzy wysłali łącznie 800 ETH (około 1,6 miliona dolarów) do Tornado Cash w dwóch oddzielnych depozytach po 400 ETH każdy. Ten wzorzec działania jest charakterystyczny dla dobrze udokumentowanych taktyk prania pieniędzy stosowanych przez grupę Lazarus.

Tornado Cash to zdecentralizowany mikser kryptowalut, który pozwala na ukrywanie śladów transakcji. Pomimo amerykańskich sankcji nałożonych w 2022 roku, serwis pozostaje aktywny. Co więcej, w styczniu 2025 roku amerykański sąd apelacyjny uchylił te sankcje, powołując się na względy wolności słowa.

Około 1,25 miliona dolarów nadal znajduje się w portfelu o adresie "0xa5…d528" na Ethereum, przechowywane w tokenach DAI i ETH. Analitycy spekulują, że środki te mogą być celowo utrzymywane w stanie uśpienia, aby zmniejszyć ryzyko wykrycia przez organy ścigania.

Seria spektakularnych włamań

Grupa Lazarus zyskała reputację najbardziej aktywnej organizacji cyberprzestępczej powiązanej z państwem. Amerykańskie sankcje określają ją jako Zaawansowane Trwałe Zagrożenie związane z elitarnymi jednostkami wywiadu wojskowego Pjongjangu. Od 2017 roku ukradli miliardy dolarów w kryptowalutach.

Ich działania obejmują głośne ataki, takie jak włamanie na giełdę Bybit w lutym 2025 roku, gdzie skradziono 1,5 miliarda dolarów, czy kradzież 100 milionów dolarów z mostu Harmony's Horizon w 2022 roku. W każdym przypadku hakerzy wykorzystywali podobne metody prania pieniędzy.

Skomplikowany schemat działania

Sposób działania grupy Lazarus zazwyczaj rozpoczyna się od ataków phishingowych lub infiltracji kluczowego personelu za pomocą złośliwego oprogramowania. Cyberprzestępcy wykorzystują luki w inteligentnych kontraktach lub portfelach kryptowalut. Po zdobyciu środków są one szybko konwertowane na płynne aktywa, dzielone na wiele portfeli i prane w różnych sieciach.

Kluczowe elementy ich strategii obejmują korzystanie z mikserów takich jak Tornado Cash oraz usług wymiany, które nie wymagają weryfikacji tożsamości (KYC - Know Your Customer). Ta kombinacja narzędzi pozwala na skuteczne ukrywanie śladów transakcji.

Wyzwania dla organów ścigania

Regulatorzy i giełdy kryptowalut mogą teraz podjąć kroki w celu oznaczenia podejrzanych adresów. Jednak ze względu na szybkość i złożoność metod prania pieniędzy stosowanych przez grupę Lazarus, usługi miksowania nadal okazują się skuteczne w ukrywaniu przepływu skradzionych środków.

Zdecentralizowana natura kryptowalut i niezmienność blockchain sprawiają, że całkowite zamknięcie takich serwisów jest praktycznie niemożliwe. Pomimo wysiłków organów ścigania, grupa Lazarus kontynuuje swoje działania, wykorzystując coraz bardziej wyrafinowane metody.