On May 16, 2025, $3.2 million was stolen from multiple Solana wallets, with cryptocurrency investigators issuing a warning that this bore the hallmarks of the Lazarus group, associated with North Korea. The stolen assets were quickly sold on-chain and transferred to Ethereum, with some assets being laundered through Tornado Cash.
5 月 16 日,受害者的 Solana 地址中的代币被清空,资产随后通过转接桥转换为以太坊,其中一部分被存入Tornado Cash.
区块链研究员 ZachXBT 公开标记了漏洞,与早期的 Lazarus 活动类似。
黑客弥补了被盗资金
区块链侦探们在观察到来自地址“C4WY…e525”在 Solana 上。
这些交易与臭名昭著的拉撒路集团(Lazarus Group)有关,涉及将被盗代币通过转接桥转移到以太坊。ZachXBT 通过监控转接桥的活动并追踪最终流入以太坊钱包网络的资金,发现了此次攻击。
6 月 25 日和 6 月 27 日,两笔 400 ETH 被转入 Tornado Cash。这 800 ETH 交易总额约为 160 万美元,与拉撒路集团有据可查的洗钱手段。
继 Bybit 等备受瞩目的黑客攻击之后,2025 年 2 月,Bybit 被盗 15 亿美元,而Harmony 的 Horizon 桥2022 年,在其他著名的黑客攻击事件中,Lazarus 多次使用 Tornado Cash 以及去中心化交易所和跨链桥,通过混淆交易线索来洗钱。
大约 125 万美元仍存放在名为“0xa5…d528在以太坊上,DAI 和 ETH 的组合持有。分析师推测,这些资金要么被存放起来以备将来洗钱,要么被故意搁置以降低被发现的风险。
Lazarus Group 自 2017 年以来一直活跃
Lazarus Group 被认为是与政府关系最为密切的网络犯罪组织,朝鲜制裁将其列为高级持续性威胁与平壤精锐军事情报部门有关联。自2017年以来,他们已经窃取了数十亿美元的加密货币。
他们的作案手法通常始于利用智能合约缺陷或钱包漏洞,通过网络钓鱼或恶意软件渗透关键人员。一旦资金到位,就会被迅速转换成流动资产,分散到多个钱包中,并使用 Tornado Cash 等混合器以及无需了解客户 (KYC) 即可进行即时兑换的服务进行跨链洗钱。
Tornado Cash 仍然是 Lazarus 洗钱策略的核心。尽管美国制裁2022 年实施的制裁,由于去中心化托管和不可篡改的特性,该服务得以逃避永久关闭。2025 年 1 月,尽管越来越多的证据表明 Lazarus 与持续使用混合器有关,但美国上诉法院仍以言论自由为由,撤销了这些制裁。
监管机构和交易所现在可能会采取措施,将被标记的地址标记为可疑地址。然而,鉴于 Lazarus 洗钱流程的速度和复杂性,混合服务仍然足以掩盖其被盗资金的流动。
您的加密货币新闻值得关注 -KEY 差异线带你进入 250 多个热门网站