Vorige week werd de Horizon-Bridge van Harmony gehackt voor een totaal van $100 miljoen aan assets. Eergisteren werd duidelijk dat de hacker ongeveer elke 6 minuten 100 ETH verstuurde naar Tornado Cash om de fondsen wit te wassen. In de zoektocht naar de mogelijke dader is nu een hoofdverdachte naar voren gekomen. Volgens het blockchain forensisch bedrijf, Elliptic Enterprises, gaat het namelijk om een groep hackers uit Noord-Korea.
Volgens het bedrijf zijn er sterke aanwijzingen die aanduiden op Noord-Koreaanse hackers die de $100 miljoen aan Ethereum hebben gestolen. Ook meldde het dat 41% van de fondsen via de Tornado Cash service zijn gegaan. Tornado Cash maakt gebruik van zero-knowledge-proof, wat een een protocol is dat de anonimiteit kan waarborgen bij het versturen van transacties. In de review van NuLink (NLK) wordt het protocol uitgebreid besproken.
Ironisch is dat op 1 april het team van Harmony nog werd gewaarschuwd door een gebruiker. Hij had kwetsbaarheden in het protocol ontdekt die dus vorige week werden uitgebuit door vermoedelijk Noord-Koreaanse hackers.
Elliptic heeft de instrumenten om de mixmogelijkheden van Tornado Cash echter te demixen. Het bedrijf beweert dat er geen enkel onweerlegbaar bewijs is dat aangeeft dat het Lazarus Group was die achter de aanval zat. Het bedrijf is echter wel van mening dat de stijl en de aard van de hack lijken op stijd van Lazarus Group, wat een hackersgroep is die wordt gefundeerd door de Noord-Koreaanse staat.
Elliptic wijst op verschillende belangrijke strategieën in de aanval die representatief zijn voor de stijl van Lazarus. Dit omvat het gebruik van social engineering-aanvallen op het team om de cryptografische sleutels van een portemonnee met meerdere handtekeningen in gevaar te brengen, met de nadruk op doelen in de regio Azië-Pacific. Ook het automatisch storten van geld in Tornado Cash en het verplaatsen van geld tijdens de nachtelijke uren van Azië en de Stille Oceaan is kenmerkend voor de groep.
Inmiddels heeft Harmony heeft een premie van $1 miljoen uitgeloofd voor de teruggave van het gestolen geld. Maar als Lazarus echt achter de aanval zit, krijgt het dat geld niet terug. Naar verluidt zit Noord-Korea namelijk achter veel verschillende cryptocurrency-aanvallen, waarbij Lazarus Group verantwoordelijk is voor miljarden dollars aan diefstal van de DeFi-markt. De aanval op de Ronin-Bridge eerder dit jaar is waarschijnlijk ook de verantwoordelijkheid van de hackersgroup.
De Lazarus Group heeft nu ook de aandacht getrokken van Amerikaanse wetgevers. Naar verluidt wordt het geld namelijk gebruikt om het wapenprogramma van Noord-Korea te funderen. Het Amerikaanse ministerie van Financiën heeft inmiddels de Blender.io-mixer gesanctioneerd omdat deze door Lazarus werd gebruikt.
Natuurlijk heeft Noord-Korea de geruchten ontkend. Er zullen aanvallen op de DeFi-markt blijven plaatsvinden en projecten zullen hun beveiliging moeten opvoeren om te voorkomen dat aanvallen succesvol zijn.
