# 黑客组织利用Horizo​​n Bridge盗取价值超6000万美元以太坊 By [话李话外](https://paragraph.com/@senlon) · 2023-01-24 --- 1 月 23 日,美国FBI通过网站宣布,朝鲜黑客组织 Lazarus Group 和 APT38 是 Horizo​​n Bridge 的攻击者,黑客组织使用名为「TraderTraitor」的恶意软件进行攻击,并通过名为 Railgun 的隐私协议对被盗的超 6000 万美元的以太坊进行洗钱。 FBI调查发现,朝鲜网络攻击者使用隐私协议 Railgun 对 2022 年 6 月抢劫期间被盗的价值超过 6000 万美元的以太坊 (ETH) 进行洗钱,其中一部分被盗的以太坊随后被发送给几家虚拟资产服务提供商并转换为比特币 (BTC)。 FBI在与一些虚拟资产服务提供商的协调下,这些资金的一部分已经被冻结。剩余的比特币随后转移到以下地址: `1BK769SseNefb6fe9QuFEi8W4KGbtP8gi3 15FcqYRbwh2JsRUyBjvZ4jJ2XAD3pycGch 1HwSof6jnbMFpfrRRa2jvydYdopkkGB4Sn 15emeZ7buVegqhYh9PekH7cwFEJcCeVNpS 3MSbCJCYtx5sj1nkzD4AMEhhvvviXBc8XJ 17Z79rZpkk8kUiJseg5aELwYKaoLnirMUn bc1qp2vvntdedxw4xwtyd4y3gc2t9ufk6pwz2ga4ge 3P9WebHkiDxCi8LDXiRQp8atNEagcQeRA3 37fnBxofDeph2fpBZxZKypNkwdXAt9nT6F 185NxhFAmKZrdwn9rVga3kqbvDP4FkbTNw 12283Cq1pJ3f1gXwqi6K3bRf5LZb8Bkm6g` FBI 与网络安全和基础设施安全局 (CISA) 以及美国财政部此前发布了一份联合网络安全咨询报告(下文会提供分享报告入口), 描述了朝鲜在 Harmony 入侵中使用的名为“TraderTraitor”的恶意软件活动。 那TraderTraitor、Railgun 都是什么呢?接下来我简单为大家揭秘一下。 1.TraderTraitor是什么? TraderTraitor是Lazarus组织主要针对加密货币行业和区块链技术进行攻击的恶意软件,支持 macOS 和 Windows 操作系统,主要是通过诱导加密货币相关的平台员工下载,向加密货币组织中从事运营、软件创建和系统管理工作的人员发送消息,以提供高薪工作为诱饵,在各种媒体社交平台使用社会工程学投放。 ![【图1】](https://storage.googleapis.com/papyrus_images/8732ce2a42701bbbe2870bb68761fcad249feab2081de737fd8a1f7ac41f9b66.jpg) 【图1】 关于 TraderTraitor 的技术实现细节,CISA 有一篇细节分析报告,有兴趣的可以看看。报告原文入口详见: [ TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies | CISA ----------------------------------------------------------------------------------- Actions to take today to mitigate cyber threats to cryptocurrency: \* Patch all systems.\* Prioritize patching known exploited vulnerabilities.\* Train users to recognize and report phishing attempts.\* Use multifactor authentication. The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the U.S. https://www.cisa.gov ](https://www.cisa.gov/uscert/ncas/alerts/aa22-108a) 2\. Railgun是什么? Railgun协议是以太坊上构建的隐私和匿名系统,直接和DEX,借贷和智能合约应用程序交互,用零知识证明来保护用户的财务,个人信息和行为安全,对公众隐藏,选择性的对其他人提供身份或资金证明,换句话说就是任何人要查看你的信息前,都需要经过你的同意。 Railgun使用零知识证明允许用户在不透露任何资产、价值或身份的情况下发送或交易,在提供隐私的同时也给洗钱提供了便利。朝鲜黑客组织 Lazarus Group 就是通过 Railgun 的隐私协议对被盗的超 6000 万美元的以太坊进行洗钱操作的。 3.事件回顾 2022年6月23日,Harmony Bridge 遭受了毁灭性的黑客攻击。攻击者能够窃取大量资金,随后在以太坊网络上将其兑换为 ETH。被盗资金详情如下: ![【图2】](https://storage.googleapis.com/papyrus_images/af310caebda10d9362199a939af343a1a544f2a77d2c80c08c059e24821d0b06.jpg) 【图2】 从2022年6 月26日到7月2日期间,黑客共存入了85,700个ETH到TornadoCash(一个完全去中心化的以太坊私人交易协议)。随后黑客退出了Tornado Cash。 ![【图3】](https://storage.googleapis.com/papyrus_images/5faa2cfcf29b24c9ea026f8b57fcce49736b58a1586492320470a73133ed3318.jpg) 【图3】 MistTrack安全团队在对 TC 的Demix取款进行深入分析后,观察到每个地址的固定取款频率模式。这种模式表明每个地址协调批量转移 400-700 ETH。进一步分析数据后,MistTrack发现 83,300 ETH 提款与黑客存入的 87,500 ETH 之间存在关联。 ![【图4】](https://storage.googleapis.com/papyrus_images/18fadb19ea1de4b93c5b0a82dacd71ed884b213a358d1f247f05969aa823ec93.jpg) 【图4】 2023年1月13日-1月14日,黑客从Tornado Cash中提取资金,把大部分资金通过RAILGUN\_Project(一个使用 ZK-SNARK 来避免检测的隐私Dapp)隐私网络混币,随后创建了各种交易并将资金转移到交易所。 ![【图5】](https://storage.googleapis.com/papyrus_images/8061e2920352af22e4e2eff168644d7b03a9dd306dab75f925748d0a640c7c24.jpg) 【图5】 2023年1月23日,FBI 确认 Lazarus Group、APT38 网络攻击者应对 Harmony 的 Horizo​​n Bridge 货币盗窃负责。 作者:话李话外 (注:交易有风险、投资需谨慎、以上内容仅供参考!如您对本文有任何想法或建议、欢迎在评论区留言提出,搜索@话李话外、关注作者更多其它内容吧) --- *Originally published on [话李话外](https://paragraph.com/@senlon/horizo-n-bridge-6000)*