تحليل تفسير التقارير للقراصنة الكوريين الشماليين ومجموعات التصيد وأدوات غسيل الأموال
مجموعة لازاروس
تحديثات في عام 2023
ووفقًا للمعلومات العامة في عام ٢٠٢٣، اعتبارًا من يونيو، لم تُنسب أي حالات سرقة كبيرة للعملات المشفرة إلى مجموعة القراصنة الكورية الشمالية «لازاروس جروب». استنادًا إلى الأنشطة داخل السلسلة، قامت مجموعة Lazarus Group بشكل أساسي بغسل أموال العملة المشفرة المسروقة اعتبارًا من عام 2022، بما في ذلك ما يقرب من 100 مليون دولار فقدت في الهجوم على جسر Harmony عبر السلاسل في 23 يونيو 2022.
ومع ذلك، فقد أظهرت الحقائق اللاحقة أن مجموعة Lazarus Group، إلى جانب غسل أموال العملة المشفرة المسروقة اعتبارًا من عام 2022، كانت نشطة في الظلام، حيث شاركت في أنشطة الهجوم المتعلقة بـ APT. أدت هذه الأنشطة بشكل مباشر إلى «Dark 101 Days» في صناعة العملات المشفرة بدءًا من 3 يونيو.
خلال «Dark 101 Days»، تم اختراق ما مجموعه 5 منصات، حيث تجاوز إجمالي المبلغ المسروق 300 مليون دولار، واستهدفت بشكل أساسي منصات الخدمة المركزية.
في 12 سبتمبر تقريبًا، اكتشفت SlowMist، مع شركائها، هجوم APT واسع النطاق يستهدف صناعة العملات المشفرة من قبل مجموعة قراصنة Lazarus Group. طريقة الهجوم هي كما يلي: أولاً، ينخرطون في خداع الهوية باستخدام التحقق الشخصي الحقيقي لخداع موظفي التحقق وأن يصبحوا عملاء حقيقيين. ثم يقومون بعمل ودائع فعلية. وباستخدام هوية العميل هذه كغطاء، فإنهم ينشرون بشكل انتقائي أحصنة طروادة المخصصة لنظام التشغيل Mac أو Windows للموظفين الرسميين والعملاء (المهاجمين) أثناء الاتصال، ويحصلون على أذونات للتحرك أفقيًا داخل الشبكة الداخلية. إنهم يتربصون لفترة طويلة لتحقيق هدف سرقة الأموال.
كما يشعر مكتب التحقيقات الفيدرالي الأمريكي بالقلق إزاء السرقات الكبرى في النظام البيئي للعملات المشفرة، وذكر علنًا في بيان صحفي أنه تم التلاعب بها من قبل قراصنة كوريا الشمالية «لازاروس جروب». فيما يلي بيان صحفي ذي صلة صادر عن مكتب التحقيقات الفيدرالي في عام 2023 بخصوص الهاكر الكوري الشمالي Lazarus Group:
في 23 يناير، أكد مكتب التحقيقات الفيدرالي (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) يجب أن يكون المتسللون الكوريون الشماليون Lazarus Group مسؤولين عن حادثة Harmony Hack.
في 22 أغسطس، أصدر مكتب التحقيقات الفيدرالي إشعارًا (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) تفيد بأن منظمة الهاكرز الكورية الشمالية «هاوكس» التي تضم أتوميك واليت وألفابو وكوينسابيد سرقت ما مجموعه ١٩٧ مليون دولار من العملات المشفرة
في 6 سبتمبر، أصدر مكتب التحقيقات الفيدرالي بيانًا صحفيًا (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) مما يؤكد أن المتسللين الكوريين الشماليين Lazarus Group مسؤولون عن سرقة 41 مليون دولار من منصة المقامرة بالعملات المشفرة Stake.com.
تحليل طرق غسيل الأموال
وفقًا لتحليلنا، استمرت أساليب غسيل الأموال لقراصنة كوريا الشمالية Lazarus Group في التطور بمرور الوقت. ستظهر طرق جديدة لغسيل الأموال من حين لآخر. الجدول الزمني للتغييرات في طرق غسيل الأموال هو كما يلي:
تحليل تصنيف العصابات
استنادًا إلى الدعم القوي المتعلق بالاستخبارات من شركاء شبكة InMist الاستخبارية، قام فريق SlowMist AML بمتابعة وتحليل البيانات المتعلقة بهذه الحوادث المسروقة ومجموعة القراصنة Lazarus Group، ثم حصل على صورة جزئية لمجموعة القراصنة Lazarus Group:
- غالبًا ما تستخدم الهوية الأوروبية أو التركية كتمويه.
- تم الحصول على العشرات من معلومات IP والعديد من معلومات عناوين البريد الإلكتروني وبعض معلومات الهوية غير الحساسة:
- 111...49
- 103...162
- 103...205
- 210.. 9.
- 103...29
- 103...163
- 154...10
- 185...217
مجففات المحفظة
ملاحظة: تمت كتابة هذا القسم بواسطة Scam Sniffer، وأود أن أعرب عن امتناني له.
نظرة عامة
حققت Wallet Drainers، وهي نوع من البرامج الضارة المتعلقة بالعملات المشفرة، «نجاحًا» ملحوظًا في العام الماضي. يتم نشر هذه البرامج على مواقع التصيد الاحتيالي لخداع المستخدمين لتوقيع معاملات ضارة، وبالتالي سرقة الأصول من محافظ العملات المشفرة الخاصة بهم. تستهدف أنشطة التصيد هذه باستمرار المستخدمين العاديين بأشكال مختلفة، مما يؤدي إلى خسائر مالية كبيرة للعديد من الذين يوقعون عن غير قصد على هذه المعاملات الضارة.
إحصائيات الصندوق المسروق
على مدار العام الماضي، اكتشفت شركة Scam Sniffer قيام Wallet Drainers بسرقة ما يقرب من 295 مليون دولار من حوالي 324,000 ضحية.
الاتجاهات
والجدير بالذكر أنه في 11 مارس، تمت سرقة ما يقرب من 7 ملايين دولار، ويرجع ذلك أساسًا إلى التقلبات في سعر صرف USDC ومواقع التصيد الاحتيالي التي تنتحل شخصية Circle. كان هناك أيضًا ارتفاع كبير في السرقات في 24 مارس تقريبًا، بالتزامن مع تسوية Arbitrum Discord وأحداث الإنزال الجوي اللاحقة.
ترتبط كل ذروة في السرقات بأحداث على مستوى المجتمع، والتي يمكن أن تكون عمليات إسقاط جوي أو حوادث قرصنة
مجففات المحفظة الجديرة بالملاحظة
بعد أن كشف ZachXBT عن Monkey Drainer، أعلنوا عن خروجهم بعد أن ظلوا نشطين لمدة 6 أشهر. ثم استحوذت Venom على معظم عملائها. وفي وقت لاحق، ظهرت مرض التصلب العصبي المتعدد وإنفيرنو وأنجل والوردي في شهر مارس تقريبًا. مع توقف عمليات Venom في شهر أبريل تقريبًا، تحولت معظم مجموعات التصيد الاحتيالي إلى استخدام خدمات أخرى. مع رسوم Drainer بنسبة 20٪، حققوا ما لا يقل عن 47 مليون دولار من خلال بيع هذه الخدمات.
اتجاهات مجففات المحفظة
يُظهر تحليل الاتجاه أن أنشطة التصيد الاحتيالي تنمو باستمرار. علاوة على ذلك، في كل مرة يخرج فيها جهاز Drainer، يحل محله جهاز جديد، مثل ظهور Angel كبديل بعد إعلان Inferno عن رحيله.
كيف يبدؤون أنشطة التصيد الاحتيالي؟
تكتسب مواقع التصيد الاحتيالي هذه بشكل أساسي حركة المرور من خلال عدة طرق:
- هجمات الهاكر:
- المشروع الرسمي: اختراق حسابات Discord وتويتر
- الهجمات على الواجهة الأمامية للمشاريع الرسمية أو المكتبات التي تستخدمها
- حركة المرور العضوية
- الإسقاط الجوي لـ NFTs أو الرموز
- استغلال روابط Discord منتهية الصلاحية
- تذكيرات البريد العشوائي والتعليقات على تويتر
- حركة المرور المدفوعة
- البحث في إعلانات Google
- إعلانات تويتر
على الرغم من أن هجمات القراصنة لها تأثير واسع، إلا أن المجتمع غالبًا ما يتفاعل بسرعة، عادةً في غضون 10-50 دقيقة. في المقابل، تعد عمليات الإنزال الجوي وحركة المرور المجانية والإعلانات المدفوعة واستغلال روابط Discord منتهية الصلاحية أقل وضوحًا.
توقيعات التصيد الشائعة
تمتلك الأنواع المختلفة من الأصول طرقًا مختلفة لبدء توقيعات التصيد الاحتيالي الضارة. فيما يلي بعض طرق توقيع التصيد الاحتيالي الشائعة لأنواع مختلفة من الأصول. سيقرر Drainers نوع توقيع التصيد الاحتيالي الضار الذي سيتم بدءه بناءً على أنواع الأصول التي تحتفظ بها محفظة الضحية.
على سبيل المثال، من حالة استغلال SignalTransfer من GMX لسرقة رموز Reward LP، فمن الواضح أن تقنيات التصيد الاحتيالي أصبحت معقدة للغاية ومصممة لأصول محددة.
زيادة استخدام العقود الذكية
1)متعدد القنوات
بدءًا من Inferno، كان هناك تركيز متزايد على استخدام تقنية العقود. على سبيل المثال، في الحالات التي تتطلب فيها رسوم تقسيم المعاملات معاملتين منفصلتين، قد لا تكون العملية سريعة بما يكفي. قد يسمح هذا للضحية بإلغاء الترخيص قبل النقل الثاني. ولتعزيز الكفاءة، بدأوا في استخدام الاتصال المتعدد لنقل الأصول بشكل أكثر فعالية.
2)إنشاء 2 & إنشاء
لتجاوز بعض عمليات التحقق من أمان المحفظة، بدأوا أيضًا في تجربة create2 أو create لإنشاء عناوين مؤقتة ديناميكيًا. هذا النهج يجعل القوائم السوداء القائمة على المحفظة غير فعالة ويعقد البحث في أنشطة التصيد الاحتيالي. نظرًا لأنه لا يمكنك معرفة أين سيتم نقل الأصول دون التوقيع، والعناوين المؤقتة لا تقدم الكثير من القيمة التحليلية، فإن هذا يمثل تحديًا كبيرًا. يمثل هذا تغييرًا كبيرًا مقارنة بالعام الماضي.
موقع التصيد الاحتيالي
يكشف تحليل عدد مواقع التصيد الاحتيالي عن زيادة شهرية مطردة في أنشطة التصيد الاحتيالي، ترتبط ارتباطًا وثيقًا بتوافر خدمات استنزاف المحفظة المستقرة.
يتم تسجيل المجالات التي تستخدمها مواقع التصيد هذه بشكل أساسي مع مسجلي نطاقات محددين. يُظهر تحليل عناوين الخادم أن معظمهم يستخدمون Cloudflare لإخفاء مواقع الخادم الحقيقية الخاصة بهم.
أدوات غسيل الأموال
سندباد
سندباد هو خلاط بيتكوين تم إنشاؤه في 5 أكتوبر 2022. فهو يحجب تفاصيل المعاملات لإخفاء تدفق الأموال على بلوكتشين.
وتصف وزارة الخزانة الأمريكية سندباد بأنه «خلاط عملات افتراضي، وأداة أساسية لغسل الأموال لمجموعة القرصنة الكورية الشمالية لازاروس، التي حددها مكتب مراقبة الأصول الأجنبية». تعامل سندباد مع أموال من حوادث القرصنة في Horizon Bridge و Axie Infinity وقام أيضًا بتحويل الأموال المتعلقة بأنشطة مثل «التهرب من العقوبات وتهريب المخدرات وشراء المواد المتعلقة بالاستغلال الجنسي للأطفال والمشاركة في مبيعات غير قانونية أخرى في سوق الويب المظلم».
استخدم قراصنة Alphapo (مجموعة Lazarus) سندباد في عملية غسيل الأموال، كما يظهر في معاملات مثل:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
تورنادو كاش
(https://dune.com/misttrack/mixer-2023)
Tornado Cash هو بروتوكول لا مركزي بالكامل وغير احتجازي يعمل على تحسين خصوصية المعاملات عن طريق كسر الارتباط على السلسلة بين عناوين المصدر والوجهة. لحماية الخصوصية، يستخدم Tornado Cash عقدًا ذكيًا يقبل ETH والودائع الرمزية الأخرى من عنوان واحد ويسمح لهم بالسحب إلى عنوان مختلف، أي إرسال ETH والرموز الأخرى إلى أي عنوان بطريقة تخفي عنوان الإرسال.
في عام 2023، أودع المستخدمون ما مجموعه 342,042 ETH (حوالي 614 مليون دولار) في Tornado Cash، وسحبوا ما مجموعه 314,740 ETH (حوالي 567 مليون دولار) من Tornado Cash.
إكسيتش
(https://dune.com/misttrack/mixer-2023)
في عام 2023، أودع المستخدمون ما مجموعه 47,235 ETH (حوالي 90.14 مليون دولار) إلى ExCh، وتم إيداع ما مجموعه 25,508,148 عملة ERC20 المستقرة (حوالي 25.5 مليون دولار) في ExCH.
ريلغون
تستخدم Railgun تقنية تشفير ZK-SNARKS لجعل المعاملات غير مرئية تمامًا. وتقوم «رايلغون» بحماية الرموز المميزة للمستخدم داخل نظام الخصوصية الخاص بها، بحيث يبدو أن كل معاملة يتم إرسالها من عنوان عقد ريلغون على بلوكتشين.
في أوائل عام 2023، صرح مكتب التحقيقات الفيدرالي أن مجموعة القراصنة الكورية الشمالية Lazarus Group استخدمت Railgun لغسل أكثر من 60 مليون دولار من الأموال المسروقة من Harmony Horizon Bridge.
الخاتمة
تقدم هذه المقالة أنشطة مجموعة القراصنة الكورية الشمالية، Lazarus Group، في عام 2023. يقوم فريق أمان SlowMist بمراقبة مجموعة المتسللين هذه باستمرار وقام بتلخيص وتحليل ديناميكياتها وطرق غسيل الأموال لإنشاء ملف تعريف للمجموعة. في عام 2023، انتشرت عصابات الصيد، مما تسبب في خسائر مالية هائلة لصناعة بلوكتشين. تعمل هذه العصابات بطريقة منسقة، وتقدم نمط «الترحيل» للهجمات. تشكل هجماتهم المستمرة والواسعة النطاق تحديات كبيرة لأمن الصناعة. نود أن نعرب عن امتناننا لمنصة Web3 لمكافحة الاحتيال، Scam Sniffer، لإفصاحها عن عصابة التصيد الاحتيالي، Wallet Drainers. نعتقد أن هذه المعلومات ذات أهمية كبيرة لفهم أساليب عملهم وحالة الربح. أخيرًا، نقدم أيضًا مقدمة لأدوات غسيل الأموال التي يشيع استخدامها من قبل المتسللين.
قم بتنزيل التقرير الكامل:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf
إخلاء المسؤولية:
- تمت إعادة طباعة هذه المقالة من [تقنية SlowMist]. جميع حقوق التأليف والنشر تنتمي إلى المؤلف الأصلي [فريق slow fogsecurity]. إذا كانت هناك اعتراضات على إعادة الطبع هذه، فيرجى الاتصال بفريق Gate Learn ، وسيتعاملون معها على الفور.
- إخلاء المسؤولية: الآراء ووجهات النظر الواردة في هذه المقالة هي فقط آراء المؤلف ولا تشكل أي نصيحة استثمارية.
- تتم ترجمة المقالة إلى لغات أخرى بواسطة فريق Gate Learn. ما لم يُذكر ذلك، يُحظر نسخ المقالات المترجمة أو توزيعها أو سرقتها.
مقالات ذات صلة
كيفية تخزين ETH?
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain
تحليل تفسير التقارير للقراصنة الكوريين الشماليين ومجموعات التصيد وأدوات غسيل الأموال
مجموعة لازاروس
تحديثات في عام 2023
ووفقًا للمعلومات العامة في عام ٢٠٢٣، اعتبارًا من يونيو، لم تُنسب أي حالات سرقة كبيرة للعملات المشفرة إلى مجموعة القراصنة الكورية الشمالية «لازاروس جروب». استنادًا إلى الأنشطة داخل السلسلة، قامت مجموعة Lazarus Group بشكل أساسي بغسل أموال العملة المشفرة المسروقة اعتبارًا من عام 2022، بما في ذلك ما يقرب من 100 مليون دولار فقدت في الهجوم على جسر Harmony عبر السلاسل في 23 يونيو 2022.
ومع ذلك، فقد أظهرت الحقائق اللاحقة أن مجموعة Lazarus Group، إلى جانب غسل أموال العملة المشفرة المسروقة اعتبارًا من عام 2022، كانت نشطة في الظلام، حيث شاركت في أنشطة الهجوم المتعلقة بـ APT. أدت هذه الأنشطة بشكل مباشر إلى «Dark 101 Days» في صناعة العملات المشفرة بدءًا من 3 يونيو.
خلال «Dark 101 Days»، تم اختراق ما مجموعه 5 منصات، حيث تجاوز إجمالي المبلغ المسروق 300 مليون دولار، واستهدفت بشكل أساسي منصات الخدمة المركزية.
في 12 سبتمبر تقريبًا، اكتشفت SlowMist، مع شركائها، هجوم APT واسع النطاق يستهدف صناعة العملات المشفرة من قبل مجموعة قراصنة Lazarus Group. طريقة الهجوم هي كما يلي: أولاً، ينخرطون في خداع الهوية باستخدام التحقق الشخصي الحقيقي لخداع موظفي التحقق وأن يصبحوا عملاء حقيقيين. ثم يقومون بعمل ودائع فعلية. وباستخدام هوية العميل هذه كغطاء، فإنهم ينشرون بشكل انتقائي أحصنة طروادة المخصصة لنظام التشغيل Mac أو Windows للموظفين الرسميين والعملاء (المهاجمين) أثناء الاتصال، ويحصلون على أذونات للتحرك أفقيًا داخل الشبكة الداخلية. إنهم يتربصون لفترة طويلة لتحقيق هدف سرقة الأموال.
كما يشعر مكتب التحقيقات الفيدرالي الأمريكي بالقلق إزاء السرقات الكبرى في النظام البيئي للعملات المشفرة، وذكر علنًا في بيان صحفي أنه تم التلاعب بها من قبل قراصنة كوريا الشمالية «لازاروس جروب». فيما يلي بيان صحفي ذي صلة صادر عن مكتب التحقيقات الفيدرالي في عام 2023 بخصوص الهاكر الكوري الشمالي Lazarus Group:
في 23 يناير، أكد مكتب التحقيقات الفيدرالي (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) يجب أن يكون المتسللون الكوريون الشماليون Lazarus Group مسؤولين عن حادثة Harmony Hack.
في 22 أغسطس، أصدر مكتب التحقيقات الفيدرالي إشعارًا (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) تفيد بأن منظمة الهاكرز الكورية الشمالية «هاوكس» التي تضم أتوميك واليت وألفابو وكوينسابيد سرقت ما مجموعه ١٩٧ مليون دولار من العملات المشفرة
في 6 سبتمبر، أصدر مكتب التحقيقات الفيدرالي بيانًا صحفيًا (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) مما يؤكد أن المتسللين الكوريين الشماليين Lazarus Group مسؤولون عن سرقة 41 مليون دولار من منصة المقامرة بالعملات المشفرة Stake.com.
تحليل طرق غسيل الأموال
وفقًا لتحليلنا، استمرت أساليب غسيل الأموال لقراصنة كوريا الشمالية Lazarus Group في التطور بمرور الوقت. ستظهر طرق جديدة لغسيل الأموال من حين لآخر. الجدول الزمني للتغييرات في طرق غسيل الأموال هو كما يلي:
تحليل تصنيف العصابات
استنادًا إلى الدعم القوي المتعلق بالاستخبارات من شركاء شبكة InMist الاستخبارية، قام فريق SlowMist AML بمتابعة وتحليل البيانات المتعلقة بهذه الحوادث المسروقة ومجموعة القراصنة Lazarus Group، ثم حصل على صورة جزئية لمجموعة القراصنة Lazarus Group:
- غالبًا ما تستخدم الهوية الأوروبية أو التركية كتمويه.
- تم الحصول على العشرات من معلومات IP والعديد من معلومات عناوين البريد الإلكتروني وبعض معلومات الهوية غير الحساسة:
- 111...49
- 103...162
- 103...205
- 210.. 9.
- 103...29
- 103...163
- 154...10
- 185...217
مجففات المحفظة
ملاحظة: تمت كتابة هذا القسم بواسطة Scam Sniffer، وأود أن أعرب عن امتناني له.
نظرة عامة
حققت Wallet Drainers، وهي نوع من البرامج الضارة المتعلقة بالعملات المشفرة، «نجاحًا» ملحوظًا في العام الماضي. يتم نشر هذه البرامج على مواقع التصيد الاحتيالي لخداع المستخدمين لتوقيع معاملات ضارة، وبالتالي سرقة الأصول من محافظ العملات المشفرة الخاصة بهم. تستهدف أنشطة التصيد هذه باستمرار المستخدمين العاديين بأشكال مختلفة، مما يؤدي إلى خسائر مالية كبيرة للعديد من الذين يوقعون عن غير قصد على هذه المعاملات الضارة.
إحصائيات الصندوق المسروق
على مدار العام الماضي، اكتشفت شركة Scam Sniffer قيام Wallet Drainers بسرقة ما يقرب من 295 مليون دولار من حوالي 324,000 ضحية.
الاتجاهات
والجدير بالذكر أنه في 11 مارس، تمت سرقة ما يقرب من 7 ملايين دولار، ويرجع ذلك أساسًا إلى التقلبات في سعر صرف USDC ومواقع التصيد الاحتيالي التي تنتحل شخصية Circle. كان هناك أيضًا ارتفاع كبير في السرقات في 24 مارس تقريبًا، بالتزامن مع تسوية Arbitrum Discord وأحداث الإنزال الجوي اللاحقة.
ترتبط كل ذروة في السرقات بأحداث على مستوى المجتمع، والتي يمكن أن تكون عمليات إسقاط جوي أو حوادث قرصنة
مجففات المحفظة الجديرة بالملاحظة
بعد أن كشف ZachXBT عن Monkey Drainer، أعلنوا عن خروجهم بعد أن ظلوا نشطين لمدة 6 أشهر. ثم استحوذت Venom على معظم عملائها. وفي وقت لاحق، ظهرت مرض التصلب العصبي المتعدد وإنفيرنو وأنجل والوردي في شهر مارس تقريبًا. مع توقف عمليات Venom في شهر أبريل تقريبًا، تحولت معظم مجموعات التصيد الاحتيالي إلى استخدام خدمات أخرى. مع رسوم Drainer بنسبة 20٪، حققوا ما لا يقل عن 47 مليون دولار من خلال بيع هذه الخدمات.
اتجاهات مجففات المحفظة
يُظهر تحليل الاتجاه أن أنشطة التصيد الاحتيالي تنمو باستمرار. علاوة على ذلك، في كل مرة يخرج فيها جهاز Drainer، يحل محله جهاز جديد، مثل ظهور Angel كبديل بعد إعلان Inferno عن رحيله.
كيف يبدؤون أنشطة التصيد الاحتيالي؟
تكتسب مواقع التصيد الاحتيالي هذه بشكل أساسي حركة المرور من خلال عدة طرق:
- هجمات الهاكر:
- المشروع الرسمي: اختراق حسابات Discord وتويتر
- الهجمات على الواجهة الأمامية للمشاريع الرسمية أو المكتبات التي تستخدمها
- حركة المرور العضوية
- الإسقاط الجوي لـ NFTs أو الرموز
- استغلال روابط Discord منتهية الصلاحية
- تذكيرات البريد العشوائي والتعليقات على تويتر
- حركة المرور المدفوعة
- البحث في إعلانات Google
- إعلانات تويتر
على الرغم من أن هجمات القراصنة لها تأثير واسع، إلا أن المجتمع غالبًا ما يتفاعل بسرعة، عادةً في غضون 10-50 دقيقة. في المقابل، تعد عمليات الإنزال الجوي وحركة المرور المجانية والإعلانات المدفوعة واستغلال روابط Discord منتهية الصلاحية أقل وضوحًا.
توقيعات التصيد الشائعة
تمتلك الأنواع المختلفة من الأصول طرقًا مختلفة لبدء توقيعات التصيد الاحتيالي الضارة. فيما يلي بعض طرق توقيع التصيد الاحتيالي الشائعة لأنواع مختلفة من الأصول. سيقرر Drainers نوع توقيع التصيد الاحتيالي الضار الذي سيتم بدءه بناءً على أنواع الأصول التي تحتفظ بها محفظة الضحية.
على سبيل المثال، من حالة استغلال SignalTransfer من GMX لسرقة رموز Reward LP، فمن الواضح أن تقنيات التصيد الاحتيالي أصبحت معقدة للغاية ومصممة لأصول محددة.
زيادة استخدام العقود الذكية
1)متعدد القنوات
بدءًا من Inferno، كان هناك تركيز متزايد على استخدام تقنية العقود. على سبيل المثال، في الحالات التي تتطلب فيها رسوم تقسيم المعاملات معاملتين منفصلتين، قد لا تكون العملية سريعة بما يكفي. قد يسمح هذا للضحية بإلغاء الترخيص قبل النقل الثاني. ولتعزيز الكفاءة، بدأوا في استخدام الاتصال المتعدد لنقل الأصول بشكل أكثر فعالية.
2)إنشاء 2 & إنشاء
لتجاوز بعض عمليات التحقق من أمان المحفظة، بدأوا أيضًا في تجربة create2 أو create لإنشاء عناوين مؤقتة ديناميكيًا. هذا النهج يجعل القوائم السوداء القائمة على المحفظة غير فعالة ويعقد البحث في أنشطة التصيد الاحتيالي. نظرًا لأنه لا يمكنك معرفة أين سيتم نقل الأصول دون التوقيع، والعناوين المؤقتة لا تقدم الكثير من القيمة التحليلية، فإن هذا يمثل تحديًا كبيرًا. يمثل هذا تغييرًا كبيرًا مقارنة بالعام الماضي.
موقع التصيد الاحتيالي
يكشف تحليل عدد مواقع التصيد الاحتيالي عن زيادة شهرية مطردة في أنشطة التصيد الاحتيالي، ترتبط ارتباطًا وثيقًا بتوافر خدمات استنزاف المحفظة المستقرة.
يتم تسجيل المجالات التي تستخدمها مواقع التصيد هذه بشكل أساسي مع مسجلي نطاقات محددين. يُظهر تحليل عناوين الخادم أن معظمهم يستخدمون Cloudflare لإخفاء مواقع الخادم الحقيقية الخاصة بهم.
أدوات غسيل الأموال
سندباد
سندباد هو خلاط بيتكوين تم إنشاؤه في 5 أكتوبر 2022. فهو يحجب تفاصيل المعاملات لإخفاء تدفق الأموال على بلوكتشين.
وتصف وزارة الخزانة الأمريكية سندباد بأنه «خلاط عملات افتراضي، وأداة أساسية لغسل الأموال لمجموعة القرصنة الكورية الشمالية لازاروس، التي حددها مكتب مراقبة الأصول الأجنبية». تعامل سندباد مع أموال من حوادث القرصنة في Horizon Bridge و Axie Infinity وقام أيضًا بتحويل الأموال المتعلقة بأنشطة مثل «التهرب من العقوبات وتهريب المخدرات وشراء المواد المتعلقة بالاستغلال الجنسي للأطفال والمشاركة في مبيعات غير قانونية أخرى في سوق الويب المظلم».
استخدم قراصنة Alphapo (مجموعة Lazarus) سندباد في عملية غسيل الأموال، كما يظهر في معاملات مثل:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
تورنادو كاش
(https://dune.com/misttrack/mixer-2023)
Tornado Cash هو بروتوكول لا مركزي بالكامل وغير احتجازي يعمل على تحسين خصوصية المعاملات عن طريق كسر الارتباط على السلسلة بين عناوين المصدر والوجهة. لحماية الخصوصية، يستخدم Tornado Cash عقدًا ذكيًا يقبل ETH والودائع الرمزية الأخرى من عنوان واحد ويسمح لهم بالسحب إلى عنوان مختلف، أي إرسال ETH والرموز الأخرى إلى أي عنوان بطريقة تخفي عنوان الإرسال.
في عام 2023، أودع المستخدمون ما مجموعه 342,042 ETH (حوالي 614 مليون دولار) في Tornado Cash، وسحبوا ما مجموعه 314,740 ETH (حوالي 567 مليون دولار) من Tornado Cash.
إكسيتش
(https://dune.com/misttrack/mixer-2023)
في عام 2023، أودع المستخدمون ما مجموعه 47,235 ETH (حوالي 90.14 مليون دولار) إلى ExCh، وتم إيداع ما مجموعه 25,508,148 عملة ERC20 المستقرة (حوالي 25.5 مليون دولار) في ExCH.
ريلغون
تستخدم Railgun تقنية تشفير ZK-SNARKS لجعل المعاملات غير مرئية تمامًا. وتقوم «رايلغون» بحماية الرموز المميزة للمستخدم داخل نظام الخصوصية الخاص بها، بحيث يبدو أن كل معاملة يتم إرسالها من عنوان عقد ريلغون على بلوكتشين.
في أوائل عام 2023، صرح مكتب التحقيقات الفيدرالي أن مجموعة القراصنة الكورية الشمالية Lazarus Group استخدمت Railgun لغسل أكثر من 60 مليون دولار من الأموال المسروقة من Harmony Horizon Bridge.
الخاتمة
تقدم هذه المقالة أنشطة مجموعة القراصنة الكورية الشمالية، Lazarus Group، في عام 2023. يقوم فريق أمان SlowMist بمراقبة مجموعة المتسللين هذه باستمرار وقام بتلخيص وتحليل ديناميكياتها وطرق غسيل الأموال لإنشاء ملف تعريف للمجموعة. في عام 2023، انتشرت عصابات الصيد، مما تسبب في خسائر مالية هائلة لصناعة بلوكتشين. تعمل هذه العصابات بطريقة منسقة، وتقدم نمط «الترحيل» للهجمات. تشكل هجماتهم المستمرة والواسعة النطاق تحديات كبيرة لأمن الصناعة. نود أن نعرب عن امتناننا لمنصة Web3 لمكافحة الاحتيال، Scam Sniffer، لإفصاحها عن عصابة التصيد الاحتيالي، Wallet Drainers. نعتقد أن هذه المعلومات ذات أهمية كبيرة لفهم أساليب عملهم وحالة الربح. أخيرًا، نقدم أيضًا مقدمة لأدوات غسيل الأموال التي يشيع استخدامها من قبل المتسللين.
قم بتنزيل التقرير الكامل:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf
إخلاء المسؤولية:
- تمت إعادة طباعة هذه المقالة من [تقنية SlowMist]. جميع حقوق التأليف والنشر تنتمي إلى المؤلف الأصلي [فريق slow fogsecurity]. إذا كانت هناك اعتراضات على إعادة الطبع هذه، فيرجى الاتصال بفريق Gate Learn ، وسيتعاملون معها على الفور.
- إخلاء المسؤولية: الآراء ووجهات النظر الواردة في هذه المقالة هي فقط آراء المؤلف ولا تشكل أي نصيحة استثمارية.
- تتم ترجمة المقالة إلى لغات أخرى بواسطة فريق Gate Learn. ما لم يُذكر ذلك، يُحظر نسخ المقالات المترجمة أو توزيعها أو سرقتها.
مقالات ذات صلة
كيفية تخزين ETH?
ما هو Tronscan وكيف يمكنك استخدامه؟