ChainAegis模式识别：朝鲜黑客组织Lazarus可能是Harmony攻击事件幕后黑手

6月23日， Harmony 链和以太坊之间的Horizon跨链桥遭受多次恶意攻击。由于所有者私钥泄漏，导致Harmony链上将近1亿美元等值的虚拟资产被盗。

ChainAegis与6月28日监测到，攻击者地址开始分批次分步骤转换转移盗取的资金，目前已有过半数资金转移至黑客常用混币协议：Tornado.Cash中。按照监测流程，ChainAegis使用图谱工具对资金流向链路进行追踪，发现攻击Harmony黑客的洗钱模式与攻击Ronin Network 黑客 的洗钱模式存在高度一致性，攻击者可能来自朝鲜黑客组织Lazarus。

图 1 Harmony攻击者洗钱路径全景图

图 2 Ronin Network攻击者洗钱路径全景图

通过全景图不难看出，两个攻击事件后续的洗钱模式高度一致，均经历了三个大的步骤：

1. 被盗资金整理兑换：发起攻击后整理原始被盗代币，通过dex等方式将多种代币swap成ETH，这是规避资金冻结的常用方式；

2. 被盗资金归集：将整理好的ETH归集到数个一次性钱包地址中，Ronin事件中黑客一共用了9个这样的地址，Harmony目前使用了7个，转移了70%左右的资金，估计最终数目也会在9个左右；

3. 被盗资金转出：使用归集地址通过Tornado.Cash将钱洗出。

使用ChainAegis图谱向右扩展的功能，可以从更细致的分步骤对比两次洗钱操作：

Harmony事件：

第一步：攻击发起+代币整理

第二步：资金归集

第三步：Tornado.Cash洗钱

Ronin Network事件：

第一步：攻击发起+代币整理（这里直接就是ETH）

第二步：资金归集

第三步：Tornado.Cash洗钱

通过ChainAegis图谱的自动布局功能，我们还可以从多个维度审视整个洗钱链路，不难发现两个事件中黑客采用的洗钱模式几乎一模一样：

图 3 Ronin Network breathfirst视图

图 4 Harmony breathfirst视图

除了具备相同的洗钱模式，在洗钱的细节上二者也有高度的一致性：

1. 攻击者非常有耐心，均使用了长达一周的时间进行洗钱操作，均在时间发生几天后开始后续洗钱动作，可以推测即使资金进入Tornado.Cash，攻击者也不会急于提现，以防止通过提币模式比对识别出最终的资金流向地址；

2. 洗钱流程中均采用了自动化交易，大部分资金归集的动作交易笔数多，时间间隔小，模式统一；

通过高度相似的资金动账模式，ChainAegis判断两个事件的攻击者来自同一团队。在Ronin事件发生数周后，美国财政部表示，“美国已将朝鲜黑客团体LAZARUS 集团与游戏Axie Infinity相关的价值6.1亿美元的加密货币盗窃案联系了起来”。4月14日，美国外国资产控制办公室（OFAC） 对于针对朝鲜的SDN（特别指定国家和被封锁人士） 列表（也就是常说的制裁名单）进行了更新，在LAZARUS集团相关条目下，增加了此前Ronin官方声明中公开的数字货币地址。根据路透社的报道，对于 Ronin 盗窃事件，美国财政部发言人表示，“美国意识到朝鲜越来越依赖非法活动——包括网络犯罪逃避美国和联合国的严厉制裁”，并警告称，任何与相关地址产生交易行为的账户都有可能登上美国的制裁名单。

鉴于美国官方的相关动作，我们基本可以判断，Harmony跨链桥被攻击事件是朝鲜黑客组织Lazarus的又一次攻击行动。在短短三个月内，该组织可能已经通过攻击行动获利超过7亿美金。Lazarus对西方加密金融的攻击可以追溯到2020年。2020 年 9 月，朝鲜黑客组织Lazarus黑进了一家斯洛伐克小型加密货币交易所，盗取了价值约 540 万美元的虚拟货币。这是Lazarus的一连串黑客行为之一，华盛顿称其目的是为朝鲜的核武器计划提供资金。值得注意的是，当时他们的洗钱工具还没有采用TornadoCash，而是使用了币安。随着各大交易所KYC合规的不断推进，TornadoCash这种去中心化匿名交易协议成了黑客洗钱的首选工具。