X-explore：Poloniex受攻击原因为私钥泄露，攻击者或为朝鲜组织Lazarus Group

7月18日消息，链上侦探 ZachXBT 于 X 发文，通过链上数据分析黑客行为，WazirX 黑客攻击事件具有朝鲜黑客组织 Lazarus Group 的攻击特征。该地址早在 7 月 10 日就通过 SHIB 从 0x09b 多重签名进行测试交易，并由 Tornado 转出 6 笔 0.1 ETH 的 GAS 费用。

7月26日消息，慢雾发推称，CoinsPaid、Atomic 与 Alphapo 攻击者或均为朝鲜黑客组织 Lazarus Group。慢雾表示，TGGMvM 开头地址收到了与 Alphapo 事件有关 TJF7md 开头地址转入的近 1.2 亿枚 TRX，而 TGGMvM 开头地址在 7 月 22 日时还收到了通过 TNMW5i 开头和 TJ6k7a 开头地址转入的来自 Coinspaid 热钱包的资金。而 TNMW5i 开头地址则曾收到了来自 Atomic 攻击者使用地址的资金。

金色财经报道，CoinsPaid Media在社交媒体上称，朝鲜黑客组织Lazarus Group正在使用一种新型恶意软件，即一种名为 LightlessCan 的先前未记录的后门，作为虚假招聘骗局的一部分。ESET研究人员警告说，它比以前使用的BlindingCan更难检测。

金色财经报道，慢雾在分析过程中发现 CoinEx 黑客或为朝鲜黑客团伙 Lazarus Group，具体关联如下： 1. 已知的 Alphapo Exploiter (TDrs…WVjr) 通过 TransitSwap 将 TRX 兑换为 ETH 并跨链到地址 (0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d) ，故该地址在 ETH 链上也被标记为 Alphapo Exploiter。 2. 黑客地址 0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d 在 ETH 链上被标记为 Alphapo Exploiter，在 BSC 链上被标记为 Stake.com Exploiter，即该地址为共用地址 3. 0x75497999432B8701330fB68058bd21918C02Ac59 在 ARB 和 OP 链上被标记为 CoinEx Exploiter，在 Polygon 链上被标记为 Stake.com Exploiter，即该地址为共用地址 因 Stake.com Exploiter 已被 FBI 关联于朝鲜黑客团伙 Lazarus Group，所以 Alphapo Exploiter，Stake.com Exploiter 和 CoinEx Exploiter 或都为朝鲜黑客团伙 Lazarus Group。

7月15日消息，链上侦探ZachXBT表示，关于此前5月份被盗取3.05亿美元的加密交易所DMM Bitcoin，已有超3500万美元资金被洗钱至Huione Guarantee。区块链取证公司Elliptic补充道，该市场位于柬埔寨，并与该国的“统治的Hun家族”有关联。Elliptic表示，该市场已从黑客攻击、杀猪盘骗局和其他漏洞中交易了价值110亿美元的加密货币。ZachXBT表示，由于洗钱技术和链下指标的相似性，怀疑朝鲜黑客组织Lazarus集团是这次黑客攻击的背后黑手。这些资金随后被转换为USDT，并桥接到Tron，然后再转移到Huione。ZachXBT还分享了与Lazarus集团、Huione和其他与DMM比特币黑客攻击相关的538个钱包地址。

10月7日消息，过去一年期间，朝鲜黑客组织Lazarus Group通过跨链桥进行了超过9亿美元（约1.2万亿韩元）的加密货币洗钱，占过去一年通过跨链桥洗钱的总金额（70亿美元）的约七分之一。