Theo báo cáo bởi Chainalysis, tội phạm mạng của Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) đã tự coi mình là mối đe dọa cấp cao và dai dẳng đối với ngành công nghiệp tiền điện tử vào năm 2021.

Tin tặc Triều Tiên đã đánh cắp tài sản trị giá 400 triệu USD cryptocurrency năm ngoái, tổng số tiền chưa được rửa, theo một nền tảng dữ liệu dựa trên blockchain giúp chính phủ và khu vực tư nhân phát hiện và ngăn chặn việc sử dụng bất hợp pháp tiền điện tử lên mức cao nhất mọi thời đại (ATH).

Nhóm Lazarus

Tin tặc Triều Tiên, chủ yếu nhắm vào các công ty đầu tư và sàn giao dịch tập trung, đã thực hiện ít nhất 7 cuộc tấn công trên nhiều nền tảng tiền điện tử và chiếm đoạt gần 400 triệu USD tiền điện tử vào năm 2021.

Trong khi đó, so với năm 2020, số vụ tấn công đã tăng từ 4 lên 7 và sát thương tăng 40%.

 Nguồn: phân tích chuỗi

Tội phạm mạng đã sử dụng các chiêu trò lừa đảo, khai thác mã, phần mềm độc hại và kỹ thuật mạng xã hội để chuyển tiền từ ví “nóng” của các tổ chức đến các địa chỉ do Triều Tiên kiểm soát.

Sau khi Triều Tiên giành được quyền giám sát số tiền điện tử bị đánh cắp, họ đã sử dụng nhiều chiến thuật rửa tiền phức tạp để xóa dấu vết và thanh toán tiền.

Báo cáo lưu ý: “Những chiến thuật và kỹ thuật phức tạp này đã khiến nhiều nhà nghiên cứu bảo mật xác định các tác nhân mạng làm việc cho Triều Tiên là Mối đe dọa dai dẳng nâng cao (APT)”, báo cáo lưu ý và lưu ý rằng điều này đặc biệt đúng với APT 38 hay “Nhóm Lazarus”. , do Tổng cục Điều hành (cơ quan tình báo chính của Triều Tiên công nhận được Hoa Kỳ và Liên hợp quốc công nhận) đứng đầu.

Tính đến năm 2018, Tập đoàn Lazarus đã đánh cắp và rửa một lượng lớn tiền điện tử, thường hơn 200 triệu USD mỗi năm.

“Chỉ riêng các vụ hack cá nhân thành công nhất, như một vụ trên KuCoin và một vụ trên một sàn giao dịch giấu tên, mỗi vụ đã huy động được hơn 250 triệu USD.”

Báo cáo lưu ý rằng theo Hội đồng Bảo an Liên Hợp Quốc, số tiền thu được từ các vụ hack sẽ được sử dụng để hỗ trợ các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của Triều Tiên.

quá trình rửa tiền

Vào năm 2021, lần đầu tiên, ETH bằng đô la Mỹ chiếm phần lớn tiền điện tử bị Triều Tiên đánh cắp, trong khi Bitcoin chỉ chiếm 20% và mã thông báo ERC-20 và altcoin là 22%.

Tỷ lệ tiền xu bị Triều Tiên đánh cắp theo thời gian | Nguồn: phân tích chuỗi

Theo Chainalysis, ngày càng có nhiều tiền điện tử bị đánh cắp, dẫn đến hoạt động rửa tiền từ Triều Tiên ngày càng phức tạp. Tin tặc đã chia quy trình thành nhiều bước, khiến việc sử dụng máy xay sinh tố tăng vọt vào năm 2021.

Các công cụ phần mềm này cho phép tin tặc tập hợp và xáo trộn tiền điện tử từ hàng nghìn địa chỉ và khiến việc theo dõi giao dịch trở nên khó khăn hơn nhiều.

Chainalysis giải thích rằng các chiến thuật được sử dụng dựa trên một trong những cuộc tấn công năm trước dẫn đến việc rửa tiền điện tử trị giá 91.35 triệu đô la.

Vào tháng 67, Liquid.com đã báo cáo rằng một người dùng trái phép đã có được quyền truy cập vào nhiều ví do sàn giao dịch quản lý. Trong cuộc tấn công, 20 token ERC-XNUMX khác nhau cùng với số lượng lớn ETH và Bitcoin đã được chuyển từ các ví tiền điện tử này đến các địa chỉ do một bên đại diện cho CHDCND Triều Tiên kiểm soát.

Trong quy trình rửa tiền thông thường, token ERC-20 và altcoin được đổi lấy ETH trên sàn giao dịch phi tập trung (DEX).

Trong bước tiếp theo, ETH được trộn lẫn và trao đổi lấy Bitcoin trên DEX và CEX (sàn giao dịch tập trung).

quá trình rửa tiền | Nguồn: phân tích chuỗi

Cuối cùng, bitcoin được trộn lẫn và hợp nhất thành các ví mới, sau đó được gửi đến địa chỉ gửi tiền tại các sàn giao dịch tiền điện tử ở châu Á.

QQuy trình rửa tiền | Nguồn: phân tích chuỗi

Theo báo cáo, hơn 65% số tiền bị đánh cắp của Triều Tiên đã được rửa thông qua các máy trộn vào năm 2021, tăng từ mức 42% vào năm 2020.

Chainalysis mô tả việc Triều Tiên sử dụng nhiều máy trộn là một “nỗ lực được tính toán nhằm che giấu nguồn gốc của các loại tiền điện tử bất chính đồng thời bắt đầu biến chúng thành tiền pháp định”.

Trong khi đó, tin tặc đang sử dụng các nền tảng DeFi như DEX để “cung cấp tính thanh khoản cho nhiều loại token ERC-20 và altcoin không thể chuyển đổi thành tiền mặt”.

Việc hoán đổi các loại tiền điện tử này thành ETH hoặc Bitcoin không chỉ làm cho chúng có tính thanh khoản cao hơn mà còn mở ra một loạt các công cụ trộn và trao đổi.

Theo Chainalysis, nền tảng DeFi thường không giám sát và không yêu cầu xác minh danh tính (KYC). Điều này cho phép tin tặc sử dụng dịch vụ của họ mà không cần đóng băng tài sản hoặc tiết lộ danh tính của họ.

Lượng tiền không được rửa ngày càng tăng

“Chainalysis đã xác định được 170 triệu USD tiền hiện tại bị đánh cắp bởi 49 vụ hack riêng biệt trong giai đoạn 2017-2021 do Triều Tiên kiểm soát nhưng chưa được các dịch vụ rửa tiền.

Ngoài ra, trong số đó có một lượng tiền khổng lồ chưa rửa được đã tồn tại suốt 6 năm. Cụ thể, khoảng 35 triệu USD đến từ các cuộc tấn công vào năm 2020 và 2021, trong khi hơn 55 triệu USD đến từ các cuộc tấn công vào năm 2016.

Số dư do Triều Tiên nắm giữ kết thúc việc này năm | Nguồn: phân tích chuỗi

Báo cáo kết luận:

“Không rõ tại sao tin tặc tiếp tục ngồi trên đống tiền này, nhưng có thể chúng đang chờ cơ quan thực thi pháp luật giảm bớt sự quan tâm để có thể rút tiền mà không bị theo dõi.” Bất kể tại sao Triều Tiên lại dành thời gian và sẵn sàng giữ số tiền này, có thể thấy rằng họ có một kế hoạch thận trọng chứ không phải một kế hoạch liều lĩnh và vội vàng.

Tham gia CoinCu Telegram để theo dõi tin tức: https://t.me/coincunews

Theo dõi kênh Youtube CoinCu | Theo dõi trang Facebook của CoinCu