ChainCatcher 메시지에 따르면, Bitcoin.com News의 보도에 의하면, 북한의 Lazarus 그룹은 거의 10억 달러에 달하는 암호화폐를 축적했으며, 이 중 5.92억 달러의 ETH, 3.19억 달러의 BTC, 심지어 33.7만 달러의 BABYDOGE가 포함되어 있습니다.

ChainCatcher 메시지, "체인 탐정" ZachXBT가 개인 채널에 글을 올려, 어떤 알려지지 않은 피해자가 2월 28일 Tron에서 북한 해커 Lazarus Group의 공격을 받아 약 310만 달러를 잃었으며, 자금은 Tron에서 이더리움으로 이동되었고, ETH는 Tornado Cash에 입금되기 전에 열 개의 주소로 분배되었다고 전했습니다.

ChainCatcher 메시지, Bybit CEO Ben Zhou는 소셜 플랫폼에서 플랫폼 출시 이후 2167개의 보고서를 처리했다고 밝혔습니다.Ben Zhou는 Lazarus 보상 플랫폼의 1.1 버전 주요 업데이트를 발표했습니다. 새 버전은 해커 주소 분석 기능을 추가하여 보상 사냥꾼이 크로스 체인으로 모든 도난 자산을 확인하고 자금 흐름을 완전히 이해할 수 있도록 합니다.플랫폼은 또한 사냥꾼이 보상을 제출할 수 있도록 Discord 채널을 추가하고, 중복 제출을 방지하기 위해 자동 블랙리스트 주소 검사 시스템을 갖추었습니다.또한, 업데이트는 해커 지갑 잔액을 순위로 표시하고, 검증된 보고서에서 보상 사냥꾼의 이름을 표시합니다.

ChainCatcher 메시지, Safe는 X 플랫폼에 Bybit의 해킹 포렌식 보고서에 대한 응답을 게시하며, Lazarus Group이 Bybit에 대한 표적 공격을 감행한 것에 대한 포렌식 검토 결과, Bybit Safe에 대한 공격은 손상된 Safe{Wallet} 개발자 기계를 통해 이루어졌으며, 이로 인해 위장된 악성 거래가 발생했다고 밝혔습니다.Lazarus는 정부 지원을 받는 북한 해커 조직으로, 개발자 자격 증명에 대한 복잡한 사회 공학 공격으로 유명하며, 때때로 제로데이 취약점을 결합하기도 합니다. 외부 보안 연구자들의 포렌식 검토 결과, Safe 스마트 계약이나 프론트엔드 및 서비스의 소스 코드에 취약점이 존재하지 않는 것으로 나타났습니다.최근 사건 발생 후, Safe{Wallet} 팀은 철저한 조사를 진행하였으며, 현재 이더리움 메인넷에서 Safe{Wallet}을 단계적으로 복구하였습니다. Safe{Wallet} 팀은 모든 인프라를 완전히 재구성하고 재구성하였으며, 모든 자격 증명을 교체하여 공격 매개체를 완전히 제거했습니다.조사의 최종 결과가 발표된 후, Safe{Wallet} 팀은 전체 사후 분석을 발표할 예정입니다. Safe{Wallet} 프론트엔드는 여전히 운영 중이며, 추가적인 보안 조치를 취했습니다. 그러나 사용자는 거래 서명 시 각별히 주의하고 경계를 유지해야 합니다.

ChainCatcher 메시지, Bybit CEO Ben Zhou가 소셜 플랫폼에 글을 올리며, "Lazarus 해커 조직의 보상 웹사이트가 온라인에 올라왔으며, Lazarus의 자금 세탁 활동에 대한 투명한 데이터를 보여줍니다."라고 밝혔습니다.총 보상금은 회수된 자금의 10%이며, 모든 자금이 회수될 경우 보상 총액은 1.4억 달러에 이를 수 있습니다. 구체적인 배분은 다음과 같습니다: 5%는 성공적으로 자금을 동결한 기관에, 5%는 자금 추적에 도움을 준 기여자에게 지급됩니다.

ChainCatcher 메시지에 따르면, eXch는 Bitcointalk 포럼의 게시물에서 "이 플랫폼은 Lazarus의 자금 세탁에 관여하지 않으며, 반대 의견은 탈중앙화된 통화의 상호 교환성과 체인 상의 개인 정보 보호가 사라지기를 원하는 일부 사람들의 관점일 뿐이다. 이들은 오랫동안 탈중앙화된 암호화폐를 싫어해왔다."고 밝혔다.eXch는 ByBit 해킹 공격의 일부 자금이 결국 자사 플랫폼 주소로 들어갔음을 인정했지만, 이번 이체는 "고립된 사례"라고 주장했다. eXch 팀은 자금 수익을 "암호화 공간 내외의 개인 정보 보호와 안전을 위해 헌신하는 다양한 오픈 소스 프로젝트"에 기부하겠다고 약속했다.이전에 느린 안개 유사에 따르면, 이미 상당량의 ETH가 eXch를 통해 세탁되어 BTC, XMR 등으로 교환되었기 때문에, 모든 플랫폼은 eXch에서 출발한 자금에 대해 리스크 관리 수준을 높여야 한다고 밝혔다.

ChainCatcher 메시지에 따르면, 느린 안개 창립자 유선은 소셜 플랫폼에 글을 올리며 "증거 분석 및 연관 추적을 통해 우리는 CEX 해킹 사건의 공격자가 북한 해커 조직인 Lazarus Group임을 확인했습니다. 이는 암호화폐 거래 플랫폼을 겨냥한 국가 차원의 APT 공격입니다. 우리는 관련 IOC(위험 지표)를 공유하기로 결정했으며, 여기에는 일부 클라우드 서비스 제공업체, 프록시 등의 IP가 포함됩니다. 주의할 점은 이 글에서 어떤 플랫폼인지, 또는 Bybit인지에 대한 언급이 없으며, 유사한 점이 있다면 정말로 불가능한 것은 아닙니다."라고 전했습니다.공격자는 pyyaml을 이용해 RCE(원격 코드 실행)를 수행하여 악성 코드를 배포하고, 이를 통해 목표 컴퓨터와 서버를 제어했습니다. 이러한 방식은 대부분의 안티바이러스 소프트웨어의 탐지를 우회했습니다. 파트너와 정보를 동기화한 후, 여러 유사한 악성 샘플을 확보했습니다. 공격자의 주요 목표는 암호화폐 거래 플랫폼의 인프라를 침해하여 지갑에 대한 제어권을 확보하고, 이를 통해 지갑 내의 대량 암호 자산을 불법적으로 이전하는 것입니다.느린 안개는 Lazarus Group의 공격 방식을 밝힌 요약 기사를 발표했으며, 사회 공학, 취약점 이용, 권한 상승, 내부 네트워크 침투 및 자금 이동 등 일련의 전술을 분석했습니다. 또한 실제 사례를 바탕으로 APT 공격에 대한 방어 권고를 정리하여, 업계에 참고가 되고 더 많은 기관이 보안 방어 능력을 향상시켜 잠재적 위협의 영향을 줄일 수 있기를 희망합니다.

ChainCatcher 메시지, 체인 탐정 ZachXBT가 개인 채널에 글을 올려, eXch(중앙화 믹서) 팀이 Bybit 안전 사건 해커 팀 Lazarus Group이 3,500만 달러를 세탁하는 데 도움을 준 후, 잘못하여 34개의 ETH(가치 9.6만 달러)를 다른 거래소의 핫 월렛 주소로 보냈다고 밝혔습니다.

ChainCatcher 메시지, 바이낸스 창립자 자오창펑은 최근 해커 사건에 대한 자세한 의견을 발표했습니다. "우리는 하나의 패턴을 관찰했습니다. 해커는 다중 서명 '콜드 스토리지' 솔루션에서 대량의 암호화폐를 훔칠 수 있습니다. Bybit, Phemex, WazirX와 같은 거래소들이 유사한 상황을 겪었습니다. 최근 Bybit 사례에서 해커는 프론트엔드 사용자 인터페이스에 합법적인 거래를 표시하게 했지만, 실제 서명은 다른 거래를 가리켰습니다. 다른 사례에 대해서는 제한된 정보에 따르면 유사한 방식이 사용된 것으로 보입니다.더욱 우려스러운 점은 영향을 받은 거래소들이 서로 다른 다중 서명 솔루션 제공업체를 사용했다는 것입니다. 해커 조직 라자루스 그룹은 매우 진보되고 광범위한 침투 능력을 보여주었습니다. 해커가 여러 서명 장치에 성공적으로 침투했는지, 서버 측에 침투했는지, 아니면 두 가지 모두 공격당했는지는 여전히 불확실합니다.내가 이전에 출금 중단을 표준 보안 예방 조치로 제안한 것에 대해 의문을 제기하는 사람들이 있습니다(나는 공항으로 가는 셔틀버스에서 트윗을 올렸습니다). 내 의도는 경험과 관찰을 바탕으로 실용적인 방법을 공유하는 것이었지만, 이 방법에는 절대적인 정답이 없습니다. 나의 지침 원칙은 항상 더 안전한 쪽으로 기울어집니다. 어떤 보안 사건이 발생한 후에는 모든 작업을 중단하고, 우리가 무슨 일이 일어났는지, 해커가 시스템에 어떻게 침투했는지, 어떤 장치가 공격당했는지를 완전히 이해해야 하며, 안전을 삼중 확인한 후에야 운영을 재개해야 합니다.물론, 출금 중단은 더 많은 공황을 초래할 수 있습니다. 2019년, 4000만 달러의 대규모 해킹 공격을 당한 후, 우리는 일주일 동안 출금을 중단했습니다. 출금을 재개했을 때(그리고 충전할 때), 충전량이 오히려 출금량을 초과했습니다. 이것이 이 방법이 더 낫다는 것은 아니며, 각 상황은 다르기 때문에 판단이 필요합니다. 나는 효과적일 수 있는 방법을 공유하기 위해 트윗을 올렸으며, 시기적절하게 지원을 표시하고자 했습니다. 나는 Ben이 가지고 있는 정보를 바탕으로 최선의 결정을 내렸다고 믿습니다.Ben은 이 도전적인 상황을 처리하는 동안 투명한 소통과 차분한 태도를 유지했습니다. 이는 WazirX, FTX와 같은 다른 투명성이 결여된 CEO들과 뚜렷한 대조를 이룹니다.여기 언급된 사례들은 각각 다릅니다. FTX는 사기 행위이며, WazirX는 소송이 진행 중이므로 언급하지 않겠습니다.가장 중요한 것은 우리는 결코 안전이 당연하다고 생각해서는 안 된다는 것입니다. 안전 지식을 이해하는 것이 중요하며, 이를 통해 자신의 필요에 맞는 적절한 도구를 선택할 수 있습니다. 이를 위해 몇 년 전에 쓴 기사를 공유하겠습니다. 다소 구식일 수 있지만 기본 개념은 여전히 유효합니다. 안전을 유지하세요(SAFU)!"

ChainCatcher 메시지, 체인 탐정 ZachXBT가 소셜 미디어에 글을 올리며, Lazarus Group이 방금 Bybit 해킹 사건의 일부 자금을 Phemex 해킹 사건의 자금과 직접 체인에서 집합하여 이 두 사건의 초기 도난 주소의 자금을 혼합했다고 전했습니다.

ChainCatcher 메시지에 따르면, Taproot Wizards 공동 창립자 Eric Wall의 분석에 따르면, Bybit 해킹 사건은 북한 해커 조직 Lazarus Group의 소행으로 거의 확정되었습니다. Chainalysis의 2022년 보고서에 따르면, 이 조직은 도난당한 자금을 처리할 때 일반적으로 고정된 패턴을 따르며, 전체 과정은 수년이 걸릴 수 있습니다. 2022년 데이터에 따르면, 이 조직은 2016년 공격으로 얻은 5500만 달러의 자금을 여전히 보유하고 있으며, 이는 빠르게 현금화할 의도가 없음을 보여줍니다.도난당한 자금의 처리 과정:첫 번째 단계: 모든 ERC20 토큰(예: stETH와 같은 유동성 파생상품)을 ETH로 변환합니다;두 번째 단계: 획득한 ETH를 모두 BTC로 교환합니다;세 번째 단계: 아시아 거래소를 통해 BTC를 점진적으로 중국 위안화로 교환합니다;최종 용도: 이 자금은 북한의 핵무기 및 탄도 미사일 프로그램을 지원하는 데 사용될 것이라고 전해집니다;분석에 따르면, Bybit는 현재 약 15억 달러의 ETH 부족을 대출 방식으로 보충하고 있으며, 이 전략은 도난당한 자금을 회수할 기대에 기반할 수 있습니다. 그러나 Lazarus Group의 소행으로 확인된 만큼, 회수 가능성은 극히 낮으며, Bybit는 ETH를 구매하여 대출을 상환해야 할 것입니다. 장기적으로 Bybit의 ETH 구매와 Lazarus Group의 ETH 매도 후 BTC 교환 행위는 서로 상쇄될 수 있으며, Lazarus Group이 확보한 BTC는 향후 수년 내에 점진적으로 매도 압력으로 전환될 것입니다.

ChainCatcher 메시지에 따르면, CoinDesk Japan의 보도에 의하면, 암호화폐 거래소 DMM Bitcoin에서 발생한 4502.9 BTC 도난 사건에 대해 일본 경찰청은 12월 24일 이 사건이 북한에 본사를 둔 해커 조직 Lazarus Group의 Trader Traitor에 의해 발생했다고 발표했습니다.일본 경찰청은 북한 해커의 불법 활동, 즉 사이버 범죄 및 암호 자산 도난 사건을 조사하기 위해 미국 연방 수사국, 기타 미국 정부 기관 및 국제 파트너와 계속 협력할 것이라고 밝혔습니다.한편, 일본 경찰청, 내각 사이버 보안 센터, 금융청은 공격 집단의 수단과 대책에 대한 문서를 발표하며 암호 자산 관련 기업들에게 주의할 것을 촉구했습니다. 이번 공격 사건에 대응하기 위해 DMM Bitcoin은 거래소를 폐쇄하기로 결정했습니다. 자산과 고객 계좌는 SBIVC Trade로 이전될 예정이며, 이 전환은 2025년 3월에 완료될 것으로 예상됩니다.

ChainCatcher 메시지에 따르면, 블록체인 탐정 ZachXBT는 중국 OTC 거래자 Yicong Wang(왕이총)이 2022년 이후로 Lazarus Group이 은행 송금을 통해 수천만 달러의 도난당한 암호화폐를 현금으로 전환하는 데 도움을 주었다고 전했습니다.몇 달 전, 한 팔로워가 OTC 왕이총(Seawang, Greatdtrader, BestRhea977 등의 가명을 사용)과 P2P 거래를 완료한 후 거래 계좌가 동결되자 ZachXBT에 연락했습니다. 이후 그는 WeChat 대화 스크린샷을 통해 왕이총의 Tron 지갑 주소 중 하나를 공유했습니다.왕이총과 관련된 블록체인 데이터를 살펴보면, Irys 공동 창립자 Alex Labs의 높은 불법 자금 위험이 눈에 띕니다. Alex Labs는 2024년 5월 Lazarus Group 해커의 공격을 받아 약 450만 달러의 손실을 입었습니다. 2024년 8월 Tether에 의해 블랙리스트에 올라간 948K 이더리움 주소도 왕이총과 직접 관련이 있습니다. 블록체인에서 그는 지난 몇 주 동안 여전히 Lazarus Group을 적극적으로 도와주고 있는 것이 분명합니다.

ChainCatcher 메시지에 따르면, 느린 안개 MistTrack의 분석 결과, Indodax 해커와 BingX 해커 간에 의심스러운 연관성이 있으며, 그들은 동일한 주소(0x0c74c11443e60e011f884f547729127380ca1992)를 사용하여 자금을 세탁하고 있습니다.Indodax 해커는 Polygon에서 활동하고 있으며, BingX 해커는 BSC에서 활동하고 있습니다.느린 안개 창립자 유선은 "BingX, Indodax, CoinEx, Alphapo, Stake 등의 해킹 사건에서 우리는 그들 간의 연관성을 입증할 증거를 찾았으며, 모두 북한 해커 Lazarus Group을 가리킵니다."라고 말했습니다.이전에 보도된 바에 따르면, 9월 11일 인도네시아 암호화 거래소 Indodax의 지갑이 다양한 네트워크에서 150건 이상의 의심스러운 거래를 수행했으며, 총 손실액은 약 1820만 달러에 달하고, 의심스러운 주소는 다양한 토큰을 이더리움으로 교환하고 있습니다.그 후 9월 20일, BingX가 공격을 받아 도난 자산 총액이 4300만 달러를 초과한 것으로 추정됩니다.

ChainCatcher 메시지에 따르면, Cointelegraph의 보도에 의하면, 미국 정부는 10월 4일 두 건의 법적 소송을 제기하며 북한 해커 조직 Lazarus Group이 훔친 267만 달러 이상의 디지털 자산을 압수하기 시작했습니다.법원 문서에 따르면, 미국 정부는 이 조직이 2022년 Deribit 해킹 공격에서 훔친 약 170만 달러의 USDT를 회수하려고 합니다. 해커는 Deribit의 핫 월렛을 성공적으로 해킹한 후, 자금을 Tornado Cash 믹서와 여러 이더리움 주소를 통해 세탁했습니다.미국 법 집행관들은 또한 Lazarus Group이 2023년 Stake.com 도박 플랫폼을 해킹한 후 도난당한 약 97만 달러의 Avalanche-bridged-Bitcoin (BTC.b)을 회수하려고 신청했습니다. 이번 악의적인 공격으로 Stake는 4100만 달러 이상의 손실을 입었습니다.