北韩骇客洗钱手法曝光！美国猛追 Lazarus 透过混币器洗钱的被盗资金

哥伦比亚特区检察官最近提出的两大没收起诉行动，揭露出关于北韩加密货币骇客如何洗钱的新细节，此时，美国政府正寻求查扣在两件重大骇客攻击中失窃的 267 万美元加密货币。

在上周五首度提出的没收起诉，目的是要追讨价值约 170 万美元的  USDT，这些 USDT 是来自北韩骇客组织 Lazarus  在 2022 年 11 月对加密货币衍生品交易所 Deribit 进行 2,800 万美元骇客窃盗事件、并透过 Tornado Cash 混币器洗钱的一部分；此外，美国政府还要追讨当前价值约 97.1 万美元、 15.5 枚的 (BTC.b)，这些币是 Lazarus Group 对线上加密货币赌场 Stake.com 进行骇客攻击，到手 4,100 万美元的一部分。

在这两件案子中的首件，是关于 Lazarus 集团透过加密货币混合器 Tornado Cash，对该组织针对 Deribit 进行骇客攻击后的所得进行洗钱。 Tornado Cash 是即将登场的洗钱审判核心，这也是加密货币提倡人士关注的重点。

在 Lazarus 集团窃得并进行洗钱的 2,800 万美元资金中，执法单位能够追讨回其中的一部分。这个北韩骇客组织是取得 Deribit 的热钱包访问权限、把资产交换到以太坊并透过 Tornado Cash 发送，最终转换为在 Tron 区块链上的 USDT 。

执法官员是透过 Tornado 追踪到这些资金，原因是他们注意到在特定以太坊钱包上有类似之处。这些钱包接收到转帐汇款的时间很相近，相隔就只有几分钟而已，而且这些转帐都是利用很类似的跨链桥，从同一位址接收到交易费用，而且最终到了同一位址汇聚再一起。

骇客试图分三批把以太坊资产转换为 USDT，不过前两次的尝试洗钱，遭到执法部门冻结一些可疑资金。骇客进行第三次尝试，成功把剩下来的资金洗净，这使得执法单位从五个相关钱包冻结的 USDT 剩下约 170 万美元。

至于第二个案子，则是有关 Lazarus 集团针对线上赌场 Stake.com 进行骇客攻击窃得 4,100 万美元，接著尝试分三阶段洗钱，包括透过 Avalanche 的跨链桥将资金转成比特币、透过混币器 Sinbad 和 Yonmix 挪移被偷的比特币，最后再把比特币换成 USDT 等稳定币。相关资金在第一阶段、第三阶段遭到冻结，很可能是透过 Avalanche 跨链桥提出资产冻结请求。

在第一阶段，执法单位冻结七笔交易的资产，这些交易通常涉及把被偷走的资产转换成 Polygon（MATIC）、币安币（BNB）这类原生币，接著透过 Avalanche 跨链桥再转成比特币。

然而，文件指出，虽然政府插手，但北韩骇客依然能把将大部分被窃取的资金转移到比特币区块链上。

在被窃取的资金转换成比特币后，骇客就会利用混币器 Sinbad 、 Yonmix，进一步混淆被偷资金的流动。文件显示，「执法单位透过两种混合服务追到被窃取资金流向北韩骇客洗钱过程的下一阶段」，不过，尽管确定了最终整合的钱包，但官员们只能额外追回 0.099 枚比特币 ，目前市价约 6,270 美元。

虽然执法部门已经提高了追踪和查扣非法加密货币的能力，但 Lazarus 集团依然活跃，最近还被指控攻击了印度加密货币交易所 WazirX，窃走 2.3 亿美元。