报道来自 The Block:根据以太坊安全专家 Taylore Moynahan 和 Arkham Research 的数据,Bybit 的黑客已将至少 209,384 ETH(约 4.8 亿美元)转移到比特币上,其中大部分是通过 ThorChain 发送的。
上周五,拉撒路集团盗取了超过 400,000 ETH,以及约 113,000 ETH 相关代币。
一些 ThorChain 开发者和验证者试图阻止北朝鲜的洗钱行为,但在技术和社区方面面临挑战。
MetaMask 安全负责人 Taylor Monahan 向 The Block 表示,Bybit 的黑客已将至少 209,384 ETH(约 4.8 亿美元)转移到比特币中。这代表了从交易所盗取的约 400,000 ETH 的一半,未计算其他被抽走的代币。
根据 Arkham Intelligence 的数据,至少有 2.4 亿美元的资金是通过 THORchain 洗钱的,该公司正在追踪与黑客团体相关的数字钱包。Arkham 在 X 上发布的帖子中表示,盗取的加密货币“主要被交换为原生比特币”。
上周五,Arkham Intelligence 表示,北朝鲜的拉撒路集团已黑入 Bybit,盗取超过 15 亿美元,引用了在线侦探 ZachXBT 提供的信息。
美国联邦调查局(FBI)随后证实,这次黑客攻击是由北朝鲜的恶意“TraderTraitor”行动者实施的,其中包括拉撒路集团。
FBI 在公告中表示:“TraderTraitor 行动者迅速进行,已将一些被盗资产转换为比特币和其他虚拟资产,分散到多个区块链上的成千上万的地址。” “预计这些资产将进一步被洗钱,并最终转换为法定货币。”
根据以太坊安全专家的说法,此次 15 亿美元的黑客攻击比以往更难追踪。拉撒路集团以分散资金和使用多种协议转移资金而闻名,但此次攻击涉及数千笔独立交易。
“这就是 Bybit 黑客追踪的情况,”化名研究员 SomaXBT 在 X 上发帖,抱怨分散资金的复杂性。“[这是] 仅仅追踪 2 次跳跃(每次 10 ETH)。我的 Mac Air 确实在为了加载这些交易而发烫。”
总的来说,黑客在攻击中抽走了超过 400,000 ETH(当时约 11 亿美元)、90,000 stETH、15,000 cmETH 和 8,000 cETH。然而,目前尚不清楚黑客持有多少 ETH,因为一些资产(包括 4300 万美元的 mETH)已被冻结。
ThorChain 交易
MetaMask 的 Monahan 估计,自攻击发生以来,黑客已经通过 3,934 次不同的跨链交易将至少 161,490 ETH(按当前价格计算约 3.7 亿美元)转移到 ThorChain。这代表了她认为已经转移到比特币的 209,384 ETH 总量的绝大部分。
“这相当于每小时 3,229,800 美元,”她说。
拉撒路似乎主要使用两个非托管桥进行攻击,即前述的 ThorChain 和 eXch。然而,以宽松的 KYC 控制而闻名的 eXch 似乎已禁用 ETH 和 ERC-20 代币的交换,限制了黑客将资金转移到比特币的能力。
周三,Bybit 首席执行官宣布,交易所将向帮助冻结与攻击相关资金的交易所、桥和混合器提供 5% 的赏金。这是 Bybit 最初向任何能够归还资金的人提供的 10% 赏金的延续。目前尚不清楚 eXch 是否收到了赏金。
在确认通过跨链交换平台 ThorChain 转移的 161,490 ETH 中,黑客使用了多种区块链工具进行跳跃,包括 Asgardex、DeFiSwap、FortunaSwap、GemWallet、LiFi、ShapeShift、TrustWallet 等,根据区块链数据。
周三,ThorChain 迎来了单日交易量最大的日子,超过 7.37 亿美元的代币交换。
“这一切都是来自拉撒路黑客,”ThorChain 用户 @diplo 在 X 上表示。“但谁在乎呢?这对 TC 来说是个胜利。唯一担心的是,一旦这些交换停止,价格会发生什么。比特币目前正在下跌,如果没有这一点,我不认为我们现在会超过 1 美元。”
ThorChain 的本地代币 RUNE 自黑客事件以来交易价格曾达到超过 1.60 美元的峰值,虽然是近期的局部高点,但距离 2024 年的 10 美元高点和历史最高点 19.30 美元还有一段距离,依据 The Block 的数据页面。
“ThorChain 不采取任何措施阻止盗取的 ETH 通过其平台流动,后果不会很好,”@AirdropGlideapp 在 X 上表示。“有趣的是,一个人可以在 2 分钟内关闭 ThorFi,但当涉及到阻止北朝鲜通过 ThorChain 洗钱数十亿美元的以太坊时,突然就变得无能为力!”
停止资金流动?
根据 X 上的几篇帖子,关于与拉撒路相关的资金流动存在内部分歧。周四早些时候,三名验证者投票拒绝与 Bybit 黑客相关的交易,这显然暂时停止了资金流动。然而,由于 ThorChain 背后的高度去中心化共识机制保持了验证者的选择性,该“投票在几分钟内被恢复”。
值得注意的是,ThorChain 的化名核心开发者“Pluto”在宣布辞去项目职务之前曾主张解决这一链上洗钱问题。投票停止 ThorChain ETH 交易的三名验证者之一 TCB 也表示,他一直在努力寻找阻止北朝鲜洗钱的办法。
“当你大部分的资金流动都是来自北朝鲜的被盗资金,且这是人类历史上最大的盗窃案时,这将成为国家安全问题,这不再是一个游戏,”TCB 在 X 上表示,并补充说,ThorChain 不够“去中心化”,难以承受监管攻击。“TC 社区有着强烈的信念,基于他们从与前线执行人员的消息中学习到的东西,这与现实脱节。”
在抽走 Bybit 冷钱包中的资金后,拉撒路将被盗资金转移到三个独立的“分配”地址——0xB4a、0x23Ob 和 0x83E,然后又将其拆分为数十个新创建的地址。该团体还通过去中心化交易所 Uniswap、Paraswap 和 KyberSwap 交换了以太坊衍生品,如 stETH 和 cETH 为 ETH。
以太坊
安全事件
