Lazarus Group, 25 kripto para hack’iyle 200 milyon doları itibari paraya akladı

• Kuzey Kore hükümetiyle bağlantılı hacker grubu Lazarus Group, Ağustos 2020 ile Ekim 2023 arasında sanal varlıklarla ilgili şirket ve bireylerden oluşan 25 hedefi hackleyerek toplam 200 milyon dolar çaldı
• Grup, her hedefe özel uyarlanmış kötü amaçlı yazılımlarıyla tanınan bir hacker oluşumu
• 2017’den bugüne kadar kripto varlık hack’leri yoluyla toplam 3-4,1 milyar dolar çaldığı tahmin ediliyor
• Bu yazı, grubun para aklama rotasını izliyor ve çalınan fonların P2P borsaları Paxful ve Noones üzerinden nasıl nakde çevrildiğini analiz ediyor

2020’deki başlıca olaylar

CoinBerry hack’i (Ağustos)

• Kanada merkezli borsa CoinBerry, bir yazılım hatası nedeniyle 120 BTC kaybetti (o zamanki değeri 3,7 milyon dolar).

Unibright hack’i (Eylül)

• Private key sızıntısı nedeniyle Unibright ekip cüzdanından yaklaşık 400 bin dolar değerinde varlık izinsiz şekilde transfer edildi.

CoinMetro hack’i (Ekim)

• Bir güvenlik ihlali sonucunda CoinMetro hot wallet’ından 750 bin dolar değerinde kripto varlık çalındı.
• Parsiq ekibi, ek zararı önlemek için PRQ token’ında hard fork yaptı.

2020’de Nexus Mutual kurucusu Hugh Karp hack’i (Aralık)

• Kötü niyetli bir işlemi onaylaması için kandırılması sonucu 370.000 NXM (8,3 milyon dolar) çalındı.
• 137,1 BTC, Bitcoin mixer’ı ChipMixer’a yatırıldıktan sonra Ethereum’a geri sokuldu.
• Ayrıca Ethereum üzerinde 2.571 ETH, Tornado Cash’e yatırıldı ve hemen ardından çekildi.

2021’de EasyFi kurucusu Ankitt Gaur hack’i (Nisan)

• Ankitt, bir phishing e-postasıyla kötü amaçlı bir Metamask eklentisi kurunca private key’i sızdırıldı ve 81 milyon dolar çalındı.
• 209,64 BTC, ChipMixer’a yatırılıp çekildikten sonra Ren Protocol üzerinden Ethereum’a geri sokuldu.
• Fonlar, Haziran 2022’de Binance’e yatırıldı.

2021’de Bondly Finance hack’i (Temmuz)

• CEO Brandon Smith’in hardware wallet recovery phrase’inin sızmasıyla ekip varlıklarından 8,5 milyon dolar çalındı.
• Ethereum, BSC ve Polygon üzerinde Tornado Cash kullanılarak 52 milyon DAI, 500 ETH ve 4.800 BNB aklandı.

2021 Ağustos-Eylül döneminde bildirilmemiş bireysel hack’ler

• Ağustos-Eylül arasında birçok birey, private key sızıntısı nedeniyle toplam 2 milyon dolar kaybetti.
• 581 ETH, Tornado Cash’e yatırıldı ve birkaç gün sonra çekildi.

2021’de MGNR & PolyPlay hack’leri (Ekim)

MGNR hack’i

• Ekip üyeleri kısa süreliğine hot wallet anahtarlarını kişisel PC’de paylaşırken 24 milyon dolar değerinde varlık çalındı.
• 5.100 ETH, Tornado Cash’e yatırıldıktan sonra kademeli olarak çekildi ve diğer hack fonlarıyla birleştirildi.
• Paxful ve Noones üzerinden nakde çevrildi.

PolyPlay hack’i

• Ekip cüzdanından 1,6 milyon dolar değerinde varlık izinsiz şekilde transfer edildi.
• 350 ETH, Tornado Cash’e yatırılıp çekildikten sonra Paxful ve Noones’a gönderildi.

Kasım 2021’de bZx hack’i

• Bir geliştiricinin kötü amaçlı script içeren e-posta ekini çalıştırması sonucu private key’i sızdırıldı ve BSC ile Polygon’da dağıtılan protokolden 55 milyon dolar çalındı.
• 10.960 ETH, Tornado Cash’e yatırılıp çekildikten sonra önceki hack fonlarıyla birleştirildi.

Ağustos 2023’te Steadefi & Coinshift hack’leri

Steadefi hack’i

• Bir geliştirici, sahte bir yatırım şirketi gibi davranan Telegram hesabından gelen kötü amaçlı sunum dosyasını açınca deployer wallet ele geçirildi ve lending ile strategy vault sahipliği hacker’a geçti. 1,2 milyon dolar çalındı.
• 624,3 ETH, Tornado Cash’e yatırıldı.

Coinshift hack’i

• Kurucuyla bağlantılı multisig wallet’tan ani fon transferleri gözlemlendi ve bunun private key sızıntısından kaynaklandığı tahmin edildi.
• 900 ETH, Tornado Cash’e yatırıldı.

Çalınan fonların P2P borsaları Paxful ve Noones üzerinden nakde çevrilmesi

• Temmuz 2022 ile Kasım 2023 arasında toplam 44 milyon dolar değerinde USDT, Paxful ve Noones yatırma adreslerine aktı.
• Paxful ve Noones üzerindeki iki hesap, çalınan miktarla örtüşen işlem hacmi gösterdi.
• Bu borsalardan buna karşılık gelen kripto para çekimleri gözlemlenmediği için, USDT’nin banka havalesi veya nakit karşılığında takas edildiği tahmin ediliyor.

Soruşturma bulguları

• Kasım 2023 itibarıyla Tether tarafından 374.000 USDT kara listeye alındı ve 2023’ün dördüncü çeyreğinde açıklanmayan bir miktar borsalarda donduruldu.
• 4 stablecoin ihraççısından 3’ü, 3,4 milyon dolar değerinde fonu kara listeye aldı.

Diğer ilişkili olaylar

• Ocak 2021’de borsa kullanıcılarının hack’lenmesi
• Mart 2022’de Arthur0x hack’i
• Eylül-Ekim 2022’de Geracoin & Darshan hack’leri
• Ekim 2023’te Maverick kurucusunun hack’lenmesi

GN⁺ görüşü

• Farklı protokoller ve bireyleri hedef alan seçici saldırılar yürütmesi ve ardından sofistike bir para aklama süreci işletmesi, bunun oldukça örgütlü ve teknik kapasitesi yüksek bir hacker grubu olduğunu düşündürüyor.
• Kripto varlık ekosisteminde kötüye kullanım örnekleri arttıkça private key yönetimi ve phishing saldırılarına karşı daha fazla dikkat gerekiyor.
• Bu olay, merkeziyetsiz finans ve kripto mixer’larının para aklama amacıyla kötüye kullanılabileceğini gösteriyor. Buna yönelik düzenleme ve önlem ihtiyacı acil görünüyor.
• Kuzey Kore hükümetinin fon sağlama aracı olarak kripto varlık hack’lerini sürdürme ihtimali nedeniyle sektör ile kamu otoriteleri arasında iş birliği gerekiyor.
• Kripto para projeleri ve bireyler, multisig, cold wallet kullanımı gibi cüzdan yönetimi önlemlerini güçlendirmeli ve şüpheli e-postalar ile ek dosyalara karşı dikkatli olmalı.