По сведениям ФБР, за крупнейшим взломом корпоративной сети стоит группировка Lazarus, состоявшая на службе КНДР, помогая стране обходить возложенные на нее международные санкции.
Появление новых кошельков связано с дроблением украденных ETH перед отправкой на миксер Tornado Cash. Разработчики этого смарт-контракта были вынуждены присоединится к режиму выполнения санкций, внедрив ноды оракулов ChaiAnalysis, автоматически отслеживающие «черный список» OFAC.
Таким образом операторы Tornado Cash получили возможность блокировать переводы с запрещенных кошельков, но хакеры Lazarus взаимодействуют напрямую со смарт-контрактом. На данный момент удалось отследить и вернуть $5,8 млн, благодаря системам безопасности Binance.
Крупнейшая биржа криптовалют заблокировала первые переводы Lazarus, совершенные после взлома Ronin, который был обнаружен только через шесть дней. Хакеры планировали конвертировать спрятанные на биржи суммы, когда уляжется шум, но Служба Безопасности вычислила взаимосвязь кошельков с атакой.