Crypto、美国与朝鲜黑客

你知道在Crypto行业，涉案金额最多的黑客盗窃是哪一次吗？

上月末，知名链游Axie Infinity 的侧链项目 Ronin 在推特表示：Ronin Network验证者节点因遭黑客入侵，导致17.36 万枚 ETH 和 2550 万 USDC 被盗。在被发现时，这笔被盗资产价值高达6.15 亿美元，超过了去年PolyNetwork桥被盗的6.11亿，成为了整个Crypto史上涉案金额最大黑客盗窃案件。

我们先梳理一下整个事件的时间线：

3月23日，Ronin 验证器节点中5个节点遭到破坏，黑客进而取得了验证器签名数量的最低阈值，借此通过伪造签名从 Ronin 桥盗取了17.36万 个以太坊和 2550 万美元的 USDC。

3月29日，有用户反映无法从Ronin桥中提取5000ETH ，这时团队发现才发现资金被盗。

3月30日，Roniny与 Chainalysis 合作来监控被盗资金 ，同时与币安、FTX 等平台建立合作，希望能追回被盗资金。而黑客在完成盗取后，也分多次将资金转入以太坊隐私交易平台Tornado进行清洗。

4月6日，Ronin的背后团队Sky Mavis紧急融资1.5 亿美元，用于补偿受 Ronin 攻击影响的用户资金。

4月15日，美国财政部网站公布朝鲜黑客组织 Lazarus Group 是此次 Ronin Network被盗事件的背后推手，并将黑客地址列入了制裁名单，表示任何与受制裁地址进行交易的人都将面临美国制裁的风险。随即Tornado Cash 联合创始人 Roman Semenov 就宣布，将使用 Chainalysis 预言机合约从前端封锁该地址，使得地址无法访问 Tornado Cash。

至此，Ronin为围堵黑客，也建立起了一个前所未有的“反黑客联盟”，而黑客组织Lazarus的浮出水面，也让我们看到了Crypto行业资产安全问题的日渐突出。

臭名昭著的Lazarus

Lazarus Group，2009年诞生于朝鲜的一个黑客组织。

关于这个黑客组织的事迹，我们简单地列出几条：

2014 年 11 入侵索尼影业，造成大量数据泄露，包括所有上线和未上线的电影，以及大约 4,000 名员工的个人信息，索尼耗费了一年多时间才从此次事件的负面影响中走过来。

2015 年，Lazarus从厄瓜多尔的 Banco del Austro 盗取1200 万美元；2016年2月，从孟加拉国央行手中偷走了8100万美元，创造了有史以来最大的银行抢劫案。

2017年，Lazarus集团据报从台湾远东国际银行盗窃了6000万美元。这一年，一款名为Wannacry勒索病毒感染了全球150 个国家的近 30万台计算机，严重影响到了全球金融、医疗、交通等诸多行业的正常运作，而病毒的幕后黑手就是Lazarus。

同样是在2017年，伴随比特币的暴涨，Lazarus开始正式进入Crypto行业，当时，美国网络安全公司Secureworks的反威胁部门报告：Lazarus的犯罪集团正在进行一项新的计划——窃取比特币行业内部人士的在线信息，之后，Lazarus在加密行业开始“大展拳脚”。

在Lazarus进入Crypto后不久，诸如Youbit ，Bithumb，DragonEx、BiKi、Cryptopia、Etbox、Coincheck等交易平台相继沦陷，据区块链数据分析公司 Chainalysis 统计，Lazarus 在 2017 年至 2020 年期间共盗取了约 17.5 亿美元的加密货币。在2018年，在加密货币交易所被盗的这一段历史进程中，Lazarus占据了总份额的58%。

俄罗斯网络安全公司卡巴斯基指出，自2017年以来，Lazarus的在Crypto领域的足迹遍布中国、印度、俄罗斯、新加坡、美国、乌克兰、越南等数十个国家，并概述了Lazarus入侵Crypto企业的常用手段：“攻击者将带有监视功能的全功能Windows后门伪装成合同或其他商务文档，巧妙利用目标公司雇员的信任，诱使他们收下这些暗藏玄机的恶意文件，从而收集到核心信息”，此次Ronin的盗窃案件也是源于验证节点关键信息的泄露。

如何清洗9100万加密资产？

2021 年 8 月 ，加密货币交易所 Liquid.com宣布：因未经授权的用户获得了对 Liquid 管理的部分加密货币钱包的访问权限，导致67 个不同的 ERC-20 Token，以及大量的ETH和比特币被盗，共计约9100万$，盗窃者正是Lazarus。

事后，Chainalysis还原了Lazarus是如何清洗这9100万美元资产的过程。

首先，Lazarus会使用DEX将各种 ERC-20 代币换成ETH，之所以这样做是因为诸如USDC/USDT等稳定币存在黑名单制度，可以直接冻结特定地址的资金，在此次Ronin事件中，黑客在第一时间将2550万USDC全部兑换成了ETH，截至4月20日，被列入USDT的黑名单地址数多达631个。

其次，通过将ETH进行混币操作后，将资产发送到新钱包，然后在CEX和DEX兑换成BTC。

Lazarus的混币与兑换操作

最后， 将最终所得的BTC资产在各个交易平台或者以P2P的方式完成变现，以此完成了约 9100 万加密资产的清洗。这个流程同样被用到了此次的Ronin事件之上，在被列入制裁名单之前，本次被盗资金中已有约 18%（约 9700 万美元）通过上述方式在各种渠道完成了洗钱。

所不同的是，因为此次事件涉案金额过于巨大，在美国财政部的公开声明和制裁之下，很多提供混币服务的企业、DEX、CEX等都会针对制裁地址进行防范，也加大了黑客组织清洗资金的难度。

伴随Crypto市场的快速发展，也让黑客进一步加大了对加密行业的入侵，而行业本身的属性也为黑客提供了相比传统金融更隐匿、更大投入产出比的优势，让Crypto行业的安全问题日渐突出。

为什么黑客钟爱跨链桥？

我们纵观最近几次大的黑客盗窃案，你会发现他们都是出自同一个细分赛道——跨链桥，比如：此次的Ronin、去年涉案6.11亿$的PolyNetwork、今年2月3.25$亿的Wormhole跨链桥黑客盗窃等等，为什么黑客组织开始越来越喜欢跨链桥了呢？

随着不同公链生态的发展，资金在不同区块链之间的转换需求逐渐增多，跨链桥也随之兴起，它为用户提供便利的同时，也为黑客提供了另一扇大门。

首先，跨链桥涉及的资产往往都是巨大的，正所谓三年不开张开张吃三年，跨链桥对黑客来说就是块大肥肉；其次，因为涉及到不同链之间，不可避免会涉及链下的信息传递交互，这相比其他的链上应用，可能更容易寻找漏洞，实施入侵；第三，作为一个新生赛道，技术的不成熟和不规范也为黑客提供了更多的可乘之机。

据Chainalysis统计，在2021年总计有大约32亿美元的加密资产遭到盗窃，而在今年Q1季度，黑客从交易所、平台和私人实体就已经窃取13亿美元的资产，其中 97% 来自链上DeFi应用（包括DEX、借贷、跨链桥等）。

2015-2022加密资产盗窃数据统计

由于 DeFi 协议本身的去中心化和代码开源，黑客可以直接分析底层协议对一些漏洞加以利用，也能非常便利的进行资金的转移，所有这些区块链技术的优势，在黑客面前反而成就了他们的盗窃。

截至4月20日，该黑客钱包地址中还持有价值约 3.5 亿美元的ETH，并将 2.24 万枚 ETH 转移至 5 个新的链上地址（约 6700 万美元），现在，在一众的监视和围堵之下，Lazarus正在进行新的清洗尝试，这场黑客攻防战还未结束……