Группировка хакеров Lazarus Group, которая, как утверждают, имеет поддержку правительства Северной Кореи, снова использует криптомиксер Tornado Cash для отмывания денег.
С 13 марта хакеры из Lazarus перевели около $12 млн в криптовалюте на адреса Tornado. Эти средства были получены группировкой в результате взлома криптобиржи HTX (ранее известной как Huobi) в ноябре прошлого года. Аналитики Elliptic обратили внимание на эти транзакции.
В ноябре 2023 года криптобиржа HTX и ее мост HECO стали жертвами крупного взлома на сумму $112,5 млн. Эксперты Elliptic считают, что за атакой стоит группировка Lazarus Group.
Хакеры сразу же обменяли похищенные токены на Ethereum через децентрализованные биржи. Однако 13 марта начались активные действия: украденная криптовалюта была отправлена в миксер Tornado Cash. Специалисты отметили, что Lazarus Group вернулась к использованию Tornado Cash для масштабного отмывания средств и сокрытия следов транзакций.
За два дня хакеры отправили на Tornado Cash более $23 млн в Ethereum через более чем 60 транзакций.
Tornado Cash находится под санкциями Министерства финансов США с августа 2022 года. Регулятор обвинил сервис в отмывании $455 млн, полученных в результате атак Lazarus Group. Хакеры в ответ перешли на другой миксер — Sinbad.io.
Однако в ноябре 2023 года американские власти также наложили санкции и на Sinbad.io, а затем конфисковали все серверы миксера, лишив Lazarus Group еще одного варианта для отмывания украденных средств.
Несмотря на запрет и блокировки, Tornado Cash продолжает работать. Недавние оценки аналитиков SlowMist показали, что в прошлом году через этот сервис было отмыто криптовалюты на сумму более $800 млн.
Разработчики Tornado Cash находятся под арестом, но в начале года они создали фонд для сбора средств на судебные разбирательства. Эдвард Сноуден и криптобиржа Coinbase поддержали эту инициативу.