Colin Thierry
Publicerad på: Augusti 23, 2022
Hotaktörerna bakom Ronin-broattacken i mars använde sekretessverktyg för att konvertera stulna Ethereum-medel (ETH) till Bitcoin (BTC), innan de överfördes genom sanktionerade kryptomixertjänster.
Hackarna använde renBTC (ett öppet, gemenskapsdrivet överföringsprotokoll för flera kedjor), tillsammans med Bitcoin-blandningstjänsterna Blender och ChipMixer för att behandla en majoritet av de stulna medlen från hacket på 625 miljoner dollar.
Vägen till de stulna medlen analyserades av ₿liteZero, en utredare som har arbetat på blockchain-säkerhetsföretaget SlowMist sedan Ronin-incidenten den 23 mars.
Hackarna konverterade först de flesta av de stulna tillgångarna till ETH och använde sedan den nu sanktionerade kryptomixern Tornado Cash för att täcka sina spår.
Enligt ₿liteZero's rapport förra veckan överförde hotaktörerna ursprungligen en del av de stulna medlen (6,249 20.5 ETH) till centraliserade börser (CEX) fem dagar efter attacken. Efteråt konverterade de ETH till BTC innan de överförde kryptotillgångar till ett värde av cirka XNUMX miljoner dollar till Bitcoin-integritetsverktyget Blender.
De flesta av de stulna medlen (175,000 4 ETH) injicerades sedan gradvis i Tornado Cash mellan 19 april och 1 maj. Hackarna använde de decentraliserade börsplattformarna (DEX) 113,000inch och Uniswap för att växla in nästan XNUMX XNUMX ETH till renBTC.
Därefter använde hotaktörerna renBTC:s cross-chain-kapacitet för att överföra de stulna medlen till Bitcoin-nätverket och konvertera tokens till BTC. Slutligen spred de sedan runt 6,631 XNUMX BTC genom en mängd olika DEX- och CEX-plattformar och protokoll.
₿liteZero sade att utredningen av Ronin-hacket fortfarande pågår för närvarande. "Jag jobbar på att analysera Ronin-hackare, och nästa arbete kommer att bli mer komplext," tillade han.
Forskarna tror att medlemmar i det ökända nordkoreanska cyberbrottsgänget Lazarusgruppen är de primära misstänkta bakom Ronin-broattacken. I enlighet med en meddelande publicerat på Ronins officiella Twitter-konto, FBI "tillskrev också Nordkorea-baserade Lazarus Group till Ronin Validator Security Breach."
