In het kort
- Het Amerikaanse ministerie van Financiën heeft vandaag een Ethereum-portemonnee-adres toegevoegd aan zijn sanctielijst, waardoor het wordt gekoppeld aan de Lazarus Group in Noord-Korea.
- Het is hetzelfde adres dat gekoppeld is aan de aanval van 622 miljoen dollar van Axie Infinity's Ronin Network vorige maand.
Noord-Koreaanse hackgroep Lazarus is naar verluidt verantwoordelijk voor de vorige maand $ 622 miljoen hack van Ronin Network, een Ethereum zijketting gebruikt door play-to-earn cryptogame, Axie Oneindigheid.
De verbinding was Onthuld vandaag toen het Amerikaanse ministerie van Financiën aankondigde dat het een nieuwe Ethereum had toegevoegd portemonnee adres op de lijst met sancties voor de Lazarus-groep. Het is hetzelfde portemonnee-adres dat Axie Infinity-maker Sky Mavis eind maart noemde als de Ronin-aanvaller.
CoinDesk bracht het nieuws voor het eerst. Een blik op Ethereum wallet explorer Etherscan toont het label "Ronin Bridge Exploiter" voor de portemonnee.
Sky Mavis heeft sindsdien erkende de verbinding in een update van het oorspronkelijke bericht over de Ronin-exploit. Blockchain-analysebedrijven Chainalysis en Elliptische hebben op dezelfde manier bevestigd dat het portemonnee-adres dat vandaag door het Amerikaanse ministerie van Financiën wordt vermeld, hetzelfde adres is dat wordt gebruikt in de Ronin-exploit.
De FBI heeft Lazarus bestempeld als een "door de staat gesponsorde hackorganisatie", en de eerste aanvallen dateren van 2009. Lazarus is naar verluidt verantwoordelijk voor de WannaCry-ransomware-aanval in 2017, de inbreuk op Sony Pictures in 2014 en een reeks aanvallen op farmaceutische bedrijven in 2020.
"Het is niet verwonderlijk dat deze aanval wordt toegeschreven aan Noord-Korea", schreef Elliptic in een blogpost. "Veel kenmerken van de aanval weerspiegelden de methode die door Lazarus Group werd gebruikt bij eerdere spraakmakende aanvallen, waaronder de locatie van het slachtoffer, de aanvalsmethode (vermoedelijk met social engineering) en het witwaspatroon dat door de groep na het evenement werd gebruikt."
De exploit van het Ronin-netwerk vond plaats op 23 maart, toen de brug die Ronin met het Ethereum-mainnet verbond, werd aangevallen met behulp van gehackte privésleutels, dit zijn cryptografische sleutels die worden gebruikt om transacties te ondertekenen. De gehackte sleutels werden gebruikt om de overdracht van geld van vijf van de negen actieve validatieknooppunten op Ronin goed te keuren.
Alles bij elkaar stal de aanvaller 173,600 WETH of Wrapped Ethereum en 25.5 miljoen USDC stablecoin, die samen ongeveer 622 miljoen dollar waard waren toen de hack op 29 maart werd ontdekt en bekendgemaakt. op een na grootste DeFi-hack tot nu toe gebaseerd op de waarde ($ 552 miljoen) van de activa toen de aanval plaatsvond.
In de weken daarna heeft Sky Mavis kondigde een financieringsronde van $ 150 miljoen aan geleid door Binance om gebruikers te helpen die door de aanval zijn getroffen. Sky Mavis zal ook zijn eigen balans aanspreken om ervoor te zorgen dat gebruikers hun geld kunnen opnemen, maar hoopt uiteindelijk in de komende twee jaar gestolen geld terug te krijgen.
Elliptic meldt dat 18% van het gestolen geld tot nu toe is witgewassen door ze naar verschillende crypto-uitwisselingen te sturen, evenals via Tornado Cash, een slimme contractgestuurde service die transacties mixt om ze moeilijk te traceren te maken. De portemonnee bevat nog steeds 147,753 ETH, wat op het moment van schrijven ongeveer $ 444 miljoen waard is.
Noot van de redactie: dit verhaal is na publicatie bijgewerkt om aanvullende details over de Ronin-hack te geven en om reacties van Sky Mavis, Chainalysis en Elliptic op te nemen.
Het beste van Decrypt rechtstreeks in je inbox.
Ontvang de topverhalen die dagelijks, wekelijkse overzichten en diepe duiken zijn samengesteld, rechtstreeks in je inbox.
Bron: https://decrypt.co/97887/north-korea-hackers-axie-infinity-ronin