Согласно отчету аналитиков блокчейна Match Systems от 3 января, опубликованному Cointelegraph, злоумышленник, который слил 81,5 миллиона долларов с моста Orbit, возможно, также был причастен к нескольким другим кибератакам на криптовалюту в 2023 году, в том числе против Coinspaid, Coinex и Atomic Wallet.
В частности, в отчете утверждается, что его анализ «дает основание полагать, что к взлому моста Орбита может быть причастна та же преступная группировка, которая в 2023 году ранее совершила несколько крупных взломов криптовалютных сервисов Atomic Wallet, CoinsPaid, CoinEx и т. д.., используя инструменты и шаблоны известной группы Lazarus».
Match Systems попыталась отследить активность злоумышленника Orbit в блокчейне. Они обнаружили, что на счет злоумышленника были предварительно зачислены средства с других счетов, которые вывели их из Tornado Cash. Вывод средств из Tornado Cash — распространенная тактика, используемая киберпреступниками для сокрытия источника своих средств.
Однако аналитики утверждают, что «успешно провели мероприятия по рассредоточению», чтобы потенциально раскрыть источник этих средств. Чтобы выполнить разделение, они использовали специализированное программное обеспечение для анализа «характеристик и закономерностей до и после микшера Tornado.cash, учитывая объемы транзакций и даты/время, а также другие специализированные методы».
По теме: Что такое миксер криптовалют и как он работает?
В результате разделения была выявлена группа адресов, один из которых использовал протокол SWFT для перевода средств на другие адреса. Часть средств, отправленных через SWFT, пошла в несколько других цепочек и в конечном итоге оказалась в одном кошельке Tron.
Оттуда кошелек Tron отправил их на биржу для обналичивания. Match Systems не смогла подтвердить местонахождение или юрисдикцию биржи, но утверждает, что некоторые доказательства указывают на то, что она «связана с регионом СНГ [Содружества Независимых Государств]».
Match Systems утверждает, что протокол SWFT также использовался в атаках DFX Finance, Deribit и AscendEX. Кроме того, Лавинный мост и Синдбад использовались как в атаке на Орбиту, так и в этих более ранних инцидентах, что обеспечивает дополнительные общие элементы, связывающие их вместе.
Кроме того, Match Systems утверждает, что эти методы использовались при взломе кошелька Atomic 2023 года и CoinsPaid, заявили Match Systems, что они считают доказательством того, что эта новейшая атака могла быть осуществлена одним и тем же преступным предприятием. Взлом CoinEx также приписывают Lazarus.
Федеральное бюро расследований США определило киберпреступную группу под названием «Лазарь» как виновников взлома Atomic Wallet и Coinspaid в 2023 году на основе поведенческого анализа, полученного на основе данных блокчейна.
Атака Orbit Bridge стала последним крупным эксплойтом протокола Web3 в 2023 году. Она произошла в канун Нового года.
