2023年朝鲜黑客组织Lazarus已窃取超过3.1亿美元的数字货币。

近年来，朝鲜黑客组织Lazarus已成为影响Web 3社区最严重的APT组织。2022年，Lazarus组织造成了至少7.5亿美元的损失，占2022年加密货币领域被窃总额的20%。CertiK分析了2023年五起主要的加密货币攻击事件，包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx，造成了2.913亿美元的损失。

美国FBI分析发现，针对Stake的恶意操作最终溯源到了Lazarus黑客组织。此外，CertiK的调查也分析了Atomic Wallet、Alphapo、CoinsPaid、Stake.com和 CoinEx的链上关联。简要的交易流图如下所示：

在Stake.com被黑事件中，资金转移到了地址为0x9D5的以太坊钱包，然后转移到了0x22b以太坊钱包。该钱包之前也接收了Tron网络Alphapo利用的资金。随后，黑客使用Transit Swap将ETH兑换为TRX。Atomic钱包被黑时，资金也直接转到了地址0x22b。

7月22日，CoinsPaid和Alphapo遭遇网络安全攻击，分别造成价值3700万美元和2300万美元的损失。私钥被窃是漏洞产生的主要原因。黑客在从CoinsPaid窃取资产过程中，通过中继EOA TJ6k7a和TNMW5i将资金从Tron EOA TUGFXf转移到了EOA账户TGGMvM。

图 资金通过TJF7md发送给了EOA TGGMvM

而TNNW5i与Alphapo有关，涉及TRX 到EOA TJXXme的交易。这些交易的关联表明，攻击事件与Lazarus黑客组织有关。

参考及来源：https://www.certik.com/zh-CN/resources/blog/216tegKHtRmx5pOI3UgYCX-lazarus-groups-web3-rampage