" Согласно отчету аналитиков блокчейна Match Systems от 3 января, злоумышленник, который слил 81,5 миллиона долларов с моста Orbit, возможно, также был причастен к нескольким другим крипто-кибератакам 2023 года, в том числе против Coinspaid, Coinex и Atomic Wallet.
В частности, в отчете утверждается, что его анализ «дает основание полагать, что к взлому моста Orbit может быть причастна та же преступная группировка, которая в 2023 году ранее совершила несколько крупных взломов криптовалютных сервисов Atomic Wallet, CoinsPaid, CoinEx и т.д., используя инструменты и шаблоны известной группы Lazarus».
Эксплуататор сливает Tether (USDT) с моста Orbit. Источник: Etherscan.
Match Systems попыталась отследить активность злоумышленника Orbit в блокчейне. Они обнаружили, что на счет злоумышленника были предварительно зачислены газовые средства с других счетов, которые вывели их из Tornado Cash. Вывод средств из Tornado Cash — распространенная тактика, используемая киберпреступниками для сокрытия источника своих средств.
Однако аналитики утверждают, что «успешно провели мероприятия по рассредоточению», чтобы потенциально раскрыть источник этих средств. Чтобы выполнить разделение, они использовали специализированное программное обеспечение для анализа «характеристик и закономерностей до и после микшера Tornado.cash, учитывая объемы транзакций и даты/время, а также другие специализированные методы».
В результате разделения была выявлена группа адресов, один из которых использовал протокол SWFT для перевода средств на другие адреса. Часть средств, отправленных через SWFT, пошла в несколько других блокчейнов и в конечном итоге оказалась в одном кошельке Tron (TRX).
Оттуда кошелек Tron отправил их на биржу для обналичивания. Match Systems не смогла подтвердить местонахождение или юрисдикцию биржи, но утверждает, что некоторые доказательства указывают на то, что она «связана с регионом СНГ (Содружества Независимых Государств)».
Match Systems утверждает, что протокол SWFT также использовался в атаках DFX Finance, Deribit и AscendEX. Кроме того, Avalanche Bridge и Sinbad использовались как в атаке на Orbit, так и в этих более ранних инцидентах, что обеспечивает дополнительные общие элементы, связывающие их вместе. Match Systems утверждает, что эти методы являются «инструментами и шаблонами известной группы Lazarus».
Федеральное бюро расследований США определило киберпреступную группу под названием Lazarus как виновников взлома Atomic Wallet и Coinspaid в 2023 году на основе поведенческого анализа, полученного на основе данных блокчейна.
Атака на Orbit Bridge стала последним крупным эксплойтом протокола Web3 в 2023 году. Она произошла в канун Нового года.
