官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
5月6日,美国财政部在宣布制裁加密货币混合服务提供商 Blender,这是混合服务提供商首次受到政府经济制裁。
美国政府持续反制疑似朝鲜黑客组织 Lazarus 的洗钱行为。3 月,美国财政部指控 Lazarus 攻击组织从 Ronin Network 处盗窃了价值 5.4 亿美元的加密货币,这一数字创下了历史记录。
美国外国资产控制办公室(OFAC)本次中针对与 Blender 相关的 45 个比特币地址、与 Lazarus 相关的 4 个钱包地址发起制裁。
美国财政部表示 Lazarus 通过 Blender 已经洗钱超过 2050 万美元,并且朝鲜利用这些钱来供养进行新的恶意攻击活动与洗钱行动。
加密货币混合服务也被称为 Cryptocurrency tumbler
,是一种为了提高资金匿名化程度与保护交易隐私性的服务。在账户之间交易加密货币时,服务提供商会将混淆资金的来源而干扰对交易痕迹的追踪。
服务介绍
当然,使用像 Blender 这种服务是需要交纳服务费的。每次将加密货币转移到 Blender 控制的钱包地址时,需要缴纳 0.6% 到 2.5% 不等的交易费。自从 2017 年推出该服务后,Blender 已经转移了超过 5 亿美元的比特币。
Intel 471 在 2021 年 11 月发布的报告中指出:通过这种服务,攻击者就可以将通过非法攻击获取的收益进行流动和兑现。
Ronin Bridge 攻击事件中,黑客团伙从去中心化的协议中窃取了价值 5.4 亿美元的加密货币。该协议支持用户在以太坊和流行的区块链游戏 Axie Infinity 之间通过加密货币进行交易。
资金流向分析
4 月 16 日,美国财政部将接收被窃加密货币的以太坊钱包加入黑名单中。但当时 Lazarus 就已经通过加密货币交易所和名为 Tornado 的以太坊混合服务提供商成功将 18% 的被窃加密货币(约合 9700 万美元)成功洗白。
根据区块链分析公司 Elliptic 的数据,两周内大约 2.739 亿美元的以太坊被发送到了四个新地址,其中一个地址已经通过 Tornado Cash 转移了 3700 万美元,还剩下 2.36 亿美元。
资金流向分析
该公司认为,交易金额远超攻击者此前的洗钱活动,通过如此大规模的洗钱行为也可以看出攻击者越来越走投无路。
通过美国财政部对 Blender 的制裁可知,Lazarus 应该已经将部分赃款转移到比特币中。
业界传闻 Blender 也帮助一些疑似俄罗斯背景的勒索软件团伙洗钱,包括 TrickBot、Conti(前身为 Ryuk)、Sodinokibi(又名 REvil)和 Gandcrab。
加密货币交易所币安于 4 月 22 日对外宣布,它已成功追回价值 580 万美元的 Axie Infinity 被盗资金,这些资金分布在 86 个账户中。
一个月前,美国财政部因加密货币交易所 Garantex 协助犯罪分子洗钱超过 1 亿美元进行了处罚。去年,该部门也对 SUEX 和 CHATEX 进行了处罚,它们都为勒索软件攻击者提供非法金融交易。
近年来,朝鲜黑客针对加密货币交易所与金融公司进行了有针对性的攻击,以非法所得支持其核计划推进并绕开国际制裁。
负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 表示:“协助非法交易的加密货币混合服务对美国的国家安全利益已经构成威胁”,“我们对朝鲜的非法活动予以制裁,也不会放任帮助其洗钱的个人或者组织助长其攻击气焰”。