解密Lazarus的洗钱策略

作者：Christopher Tepedino，CoinTelegraph；编译：陶朱，金色财经

在对 15 亿美元 Bybit 黑客攻击事件的分析中，两家区块链研究机构 Nansen 和 Chainalysis 披露了 Lazarus Group 的洗钱策略，其中包括将非流动资产换成流动资产、创建复杂的资金流向以及让某些钱包处于闲置状态以减少审查。

据 Nansen 称，典型的 Lazarus Group 策略首先是将非流动资产换成更可替代的资产，因此更容易转移。在 Bybit 被黑客攻击后，犯罪者将至少 2 亿美元的质押代币转换为 Ether，而 Ether 可以在链上更轻松地转移。

在将非流动性资产转换为流动性资产之后，就开始了洗钱过程。为了制造混淆，黑客使用了一个中间钱包迷宫来创建一条复杂的路径，旨在混淆追踪者。根据 Chainalysis 的说法，这些资金是通过去中心化交易所、跨链桥，甚至是不需要了解你的客户 (KYC) 验证的即时交换服务进行洗钱的。

Lazarus Group 洗钱行为的复杂性。资料来源：Chainalysis

大部分 ETH 最终被兑换成比特币和 Dai 等稳定币。在某些情况下，区块链分析师能够实时跟踪这些动向。这使得运行这些去中心化协议的某些组织（如 Chainflip）能够阻止犯罪者洗白被盗资金的企图。

在整个洗钱过程中，黑客不断将窃取的资金分成更小的资金池，发送到越来越多的钱包。第一次“转移”将资金从一个钱包分成 42 个钱包。第二次“转移”从 42 个钱包分成数千个。

到目前为止，Bybit 黑客洗钱的钱只是 15 亿美元的一部分。Lazarus Group 还有另一种策略来避免备受瞩目的盗窃案带来的高度关注：坐等。一些钱包里有被盗资金（目前所有钱包的金额高达 9 亿美元）一直处于休眠状态，因为该组织在等待审查的结束。

这次近 15 亿美元的黑客攻击比该组织在 2024 年的全部收入还要多——47 次攻击中 13 亿美元。这次攻击是有史以来最大的加密货币抢劫案，它团结了社区支持 Bybit 并反对黑客。随着 Lazarus Group 面临越来越严格的审查，它继续适应这种审查强度。正如报道的那样，它的网络战战略仍然是世界上最有利可图和最复杂的战略之一。