ผู้คุกคาม Ronin ใช้เครื่องผสม Crypto เพื่อโอนเงินที่ถูกขโมย

เผยแพร่เมื่อ: สิงหาคม 23, 2022

ผู้คุกคามที่อยู่เบื้องหลังการโจมตีสะพาน Ronin ในเดือนมีนาคมใช้เครื่องมือความเป็นส่วนตัวเพื่อแปลงกองทุน Ethereum (ETH) ที่ถูกขโมยไปเป็น Bitcoin (BTC) ก่อนที่จะโอนผ่านบริการตัวผสมการเข้ารหัสลับที่ถูกคว่ำบาตร

แฮกเกอร์ใช้ renBTC (โปรโตคอลการถ่ายโอนข้ามเครือข่ายแบบเปิดที่ขับเคลื่อนโดยชุมชน) พร้อมกับบริการผสม Bitcoin Blender และ ChipMixer เพื่อประมวลผลเงินส่วนใหญ่ที่ถูกขโมยจากการแฮ็กมูลค่า 625 ล้านดอลลาร์

เส้นทางของเงินที่ถูกขโมยได้รับการวิเคราะห์โดย ₿liteZero นักสืบที่ทำงานในบริษัทรักษาความปลอดภัยบล็อคเชน SlowMist ตั้งแต่วันที่ 23 มีนาคม เหตุการณ์ Ronin

แฮกเกอร์ได้แปลงสินทรัพย์ที่ถูกขโมยส่วนใหญ่ไปเป็น ETH ก่อน จากนั้นจึงใช้เครื่องผสมการเข้ารหัสลับ Tornado Cash ที่ได้รับการอนุมัติในขณะนี้เพื่อปกปิดร่องรอยของพวกเขา

อ้างอิงจาก ₿liteZero's รายงาน เมื่อสัปดาห์ที่แล้ว ผู้คุกคามได้โอนส่วนหนึ่งของกองทุนที่ถูกขโมยไป (6,249 ETH) ไปยังตลาดซื้อขายแลกเปลี่ยนแบบรวมศูนย์ (CEX) ห้าวันหลังจากการโจมตี หลังจากนั้นพวกเขาแปลง ETH เป็น BTC ก่อนที่จะส่งสินทรัพย์ crypto มูลค่าประมาณ 20.5 ล้านดอลลาร์ไปยัง Blender เครื่องมือความเป็นส่วนตัวของ Bitcoin

เงินที่ถูกขโมยส่วนใหญ่ (175,000 ETH) ถูกฉีดเข้าไปใน Tornado Cash อย่างค่อยเป็นค่อยไประหว่างวันที่ 4 เมษายนถึง 19 พฤษภาคม แฮกเกอร์ใช้แพลตฟอร์มการแลกเปลี่ยนแบบกระจายอำนาจ (DEX) ขนาด 1 นิ้ว และ Uniswap เพื่อแลกเปลี่ยนเกือบ 113,000 ETH เป็น renBTC

ต่อมา ผู้คุกคามใช้ความสามารถข้ามสายของ renBTC เพื่อโอนเงินที่ถูกขโมยไปยังเครือข่าย Bitcoin และแปลงโทเค็นเป็น BTC ในที่สุดพวกเขาก็กระจัดกระจายประมาณ 6,631 BTC ผ่านแพลตฟอร์มและโปรโตคอล DEX และ CEX ที่หลากหลาย

₿liteZero กล่าวว่า ว่าการสอบสวนการแฮ็กของ Ronin ยังคงดำเนินต่อไป “ฉันกำลังวิเคราะห์แฮ็กเกอร์ Ronin และงานต่อไปจะซับซ้อนกว่านี้” เขากล่าวเสริม

นักวิจัยเชื่อว่าสมาชิกของแก๊งอาชญากรไซเบอร์ที่น่าอับอายของเกาหลีเหนือ กลุ่ม Lazarus เป็นผู้ต้องสงสัยหลักที่อยู่เบื้องหลังการโจมตีสะพานโรนิน ตามที่ การประกาศ โพสต์บนบัญชี Twitter อย่างเป็นทางการของ Ronin เอฟบีไอยัง “ถือว่า Lazarus Group ที่อยู่ในเกาหลีเหนือเป็นการละเมิดความปลอดภัยของ Ronin Validator”