朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

Lazarus Group 2023年,朝鲜黑客组织Lazarus Group主要清洗2022年窃取的加密货币资金,包括Harmony跨链桥攻击的1亿美元。6月3日开始的“黑暗101日”期间,该组织攻击5个平台,窃取超3亿美元。攻击手法包括身份伪装、定向投放木马和内网横向移动。FBI确认该组织涉及多起重大盗窃案。 Wallet Drainers Wallet Drainers通过钓鱼网站骗取用户签署恶意交易,2023年从32万受害者中盗取近2.95亿美元。攻击方式包括黑客攻击、自然流量和付费广告。钓鱼活动持续增长,新型Drainers不断出现,技术手段日益复杂,如使用Multicall和CREATE2绕过安全验证。 洗钱工具 黑客常用洗钱工具包括Sinbad、Tornado Cash、eXch和Railgun。Sinbad被Lazarus Group用于清洗Axie Infinity等攻击资金。Tornado Cash 2023年处理约6.14亿美元ETH。Railgun利用zk-SNARKs技术隐藏交易。

Lazarus Group

2023年对于朝鲜黑客组织Lazarus Group而言是充满变化的一年。在上半年,公开信息显示该组织相对沉寂,截至6月份尚未出现被明确归因于该组织的大型加密货币盗窃案件。然而这种表面平静下暗流涌动,链上数据分析表明,Lazarus Group正忙于清洗2022年窃取的加密货币资产,特别是6月23日Harmony跨链桥被盗的约1亿美元资金。

随着时间推移,真相逐渐浮出水面。这个臭名昭著的黑客组织并未真正蛰伏,而是在暗中进行着APT攻击活动。这些隐秘行动最终导致了加密货币行业自6月3日起的”黑暗101日”。在这段时期内,共有5个平台遭受攻击,损失金额超过3亿美元,其中以中心化服务平台为主要目标。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

9月中旬,慢雾安全团队与合作伙伴发现Lazarus Group针对加密货币行业发起了大规模APT攻击。该组织的攻击手法极具欺骗性:首先通过身份伪装完成实人认证,获取真实客户身份;随后以正常客户身份进行入金操作;最后在与平台客服沟通时,针对性地投放定制木马程序,获取系统权限后实施内网渗透,长期潜伏伺机盗取资金。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

美国FBI持续关注加密货币领域的重大盗窃案件,并在2023年多次发布与Lazarus Group相关的公告。1月23日,FBI确认该组织对Harmony跨链桥攻击事件负责;8月22日,FBI指出Lazarus Group涉嫌Atomic Wallet、Alphapo和CoinsPaid三起黑客攻击,涉案金额达1.97亿美元;9月6日,FBI再次确认该组织对Stake.com赌博平台4100万美元被盗案负有责任。

在洗钱方式方面,Lazarus Group展现出持续进化的能力。我们的分析显示,该组织定期更新洗钱手法,采用越来越复杂的技术来掩盖资金流向。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

基于InMist情报网络提供的数据支持,慢雾AML团队对Lazarus Group进行了深入画像分析。该组织惯常使用欧洲和土耳其身份作为伪装,已掌握数十个IP地址、十余个邮箱及部分脱敏身份信息。这些发现为追踪该组织活动提供了重要线索。

Wallet Drainers

本小节内容由Scam Sniffer团队提供,特此致谢。

过去一年中,Wallet Drainers这类加密货币恶意软件展现出惊人的破坏力。这些软件通常被植入钓鱼网站,诱导用户签署恶意交易,从而盗取钱包资产。钓鱼攻击形式多样且持续演变,导致大量用户在不知情的情况下蒙受重大损失。

Scam Sniffer监测数据显示,仅一年时间内,Wallet Drainers就造成约32万受害者损失近2.95亿美元。其中3月11日单日损失高达700万美元,主要源于USDC汇率波动期间假冒Circle的钓鱼网站猖獗,以及3月24日前后Arbitrum Discord被黑及空投事件引发的连锁反应。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

在ZachXBT曝光Monkey Drainer后,该组织宣布退出,但很快被Venom取代。随后MS、Inferno、Angel、Pink等新型Drainer相继涌现。据估算,这些组织通过收取20%的服务费已获利至少4700万美元。

钓鱼网站获取流量的方式日趋多元化,包括黑客攻击官方Discord和Twitter账号、利用项目前端漏洞、制造虚假空投活动、抢占失效Discord链接、投放Twitter垃圾信息,以及购买Google和Twitter广告等。其中黑客攻击虽然影响范围大但响应迅速,而自然流量和付费广告等方式更具隐蔽性。

值得注意的是,Wallet Drainers的技术手段也在不断升级。从Inferno开始,攻击者开始更多采用智能合约技术,如使用Multicall批量处理交易提高效率,利用CREATE2和CREATE生成临时地址规避钱包安全检测等。这些技术演进大大增加了防御难度。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

钓鱼网站数量呈现持续增长态势,这与Wallet Drainer服务的稳定供应密切相关。分析显示,攻击者主要使用特定域名注册商,并普遍借助Cloudflare隐藏真实服务器地址。

洗钱工具

Sinbad

成立于2022年10月的比特币混币器Sinbad已成为Lazarus Group的主要洗钱工具。美国财政部指出,Sinbad处理了来自Horizon Bridge和Axie Infinity黑客攻击的资金,还涉及毒品交易、儿童色情等非法活动洗钱。Alphapo黑客事件中,Lazarus Group就曾使用Sinbad转移赃款。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

Tornado Cash

这款去中心化混币协议通过智能合约切断存款与提款地址间的链上关联。2023年用户共计存入34.2万ETH(约6.14亿美元),提款31.47万ETH(约5.67亿美元)。

朝鲜黑客与钓鱼团伙洗钱工具深度解析报告

eXch

2023年该混币器接收了47,235 ETH(约9014万美元)和2550万美元的ERC20稳定币。

Railgun

采用zk-SNARKs技术的Railgun能完全隐藏交易细节。FBI确认Lazarus Group使用该工具清洗了从Harmony跨链桥窃取的超6000万美元资金。

总结

本文详细梳理了朝鲜黑客组织Lazarus Group在2023年的活动轨迹,慢雾安全团队对其攻击模式和洗钱手段进行了深入分析。同时,我们也关注到Wallet Drainers钓鱼团伙给行业带来的严重威胁,特别感谢Scam Sniffer团队提供的专业洞见。面对持续演变的网络安全挑战,行业需要保持高度警惕。

完整报告下载:https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/11144.html

CHAINTT的头像CHAINTT
上一篇 2025年12月3日 下午2:32
下一篇 2025年12月3日 下午3:08

相关推荐

  • 区块链安全:无限铸币攻击原理与防范措施全解析

    Web3旨在摆脱中心化机构干涉,但智能合约漏洞导致无限铸币攻击频发。黑客通过篡改DeFi项目铸币功能,超发代币并抛售获利,造成项目巨额损失,如Cover协议、Paid网络等案例。防范措施包括智能合约审计、多签名钱包和实时监控。未来需完善法律框架与安全规范,目前DeFi领域攻击已减少50%,但项目方仍需保持高度警惕。

    2025年9月12日
    15500
  • 质押池是什么?了解质押池的工作原理与优势

    什么是质押池? 质押池是加密货币领域中通过权益证明(PoS)机制赚取被动收益的工具,用户通过汇集资产参与集体质押,获得更高奖励并降低风险。相比单独质押,质押池具有门槛低、操作简便等优势。 质押池的类型 质押池分为中心化、去中心化、托管式及混合式等类型,例如Gate.io ETH 2.0质押池提供零手续费、即时赎回及100%储备保障,而Rocket Pool等去中心化方案则强调安全性和低门槛参与。 如何选择质押池? 选择质押池需评估其声誉、费用结构、验证者表现及安全措施。建议优先考虑支持流动性质押衍生品(LST)的池,以提高资金利用率并分散风险。

    2025年8月11日
    23900
  • 乐透挖矿是什么意思?乐透挖矿原理与玩法全解析

    介绍 乐透挖矿是一种高风险高回报的独立挖矿方式,矿工通过个人设备单独竞争区块奖励,虽成功率极低但潜在收益可观。本文解析其运作机制、与矿池挖矿的差异,以及面临的电力成本、技术门槛等挑战,同时强调其对区块链去中心化和安全性的贡献。

    2025年7月17日
    23100
  • 深入调查以太坊Rug Pull案例:揭秘代币生态乱象与防范措施

    简介 CertiK安全团队调查发现,2023年11月至2024年8月期间,以太坊主网发行的100,260种新代币中,48.14%涉及Rug Pull诈骗。Telegram群组推送的93,930种代币中,49.53%为诈骗代币。这些诈骗团伙通过组织化运作,利用Telegram群组推广恶意代币,累计投入149,813.72 ETH,获利282,699.96 ETH(约8亿美元),回报率高达188.7%。诈骗手法包括代码后门、伪造交易量等,主要套现方式为移除流动性(占比69.06%)。研究显示,当前以太坊代币生态安全形势严峻,建议投资者通过知名交易所购买代币,核实项目信息,并使用安全扫描工具降低风险。

    2025年9月28日
    14700
  • 区块链加密市场的蜜罐骗局:如何识别与防范风险

    蜜罐骗局通过伪造高流动性和价格上涨诱骗投资者购买代币,再利用恶意合约代码阻止出售。2022年蜜罐代币数量激增83.39%,主要分布在BNB链和以太坊。攻击手段包括代码混淆、伪造知名合约、隐蔽触发机制和伪造交易数据。用户可通过GoPlus安全、Token Sniffer等工具检测风险,建议审慎分析代币合约,避免参与可疑项目。

    2025年10月23日
    15100

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险