朝鲜拉扎勒斯黑客_臭名昭著的罗宁黑客背后的主谋

3月下旬，P2E游戏平台Axie Infinity的Ronin网络成为攻击的受害者，使其损失超过6亿美元。Ronin黑客被描述为DeFi历史上最大的漏洞。美国财政部称，朝鲜的Lazarus黑客是这次漏洞的幕后黑手。

这并不是这些人第一次与重大的网络盗窃案件有关。在过去的十年中，美国已经将各种类似的抢劫案的责任搁置在拉扎勒斯黑客身上。当然，这就提出了一个问题；

---

拉扎勒斯黑客是属于朝鲜民主主义人民共和国的国家行为者。他们是一个网络犯罪集团，在朝鲜政府的指导下完成了一系列的攻击。 该组织自2009年以来一直很活跃，并在2014年损害了娱乐公司索尼影业的利益后声名鹊起。两年后的2016年，他们更加臭名昭著，他们袭击了孟加拉国中央银行，抢走了约8100万美元。

2021年，区块链研究公司Chainalysis认为，到目前为止，被掠夺的加密货币价值高达17.5亿美元，是由网络犯罪集团的行动造成的，自那时起，这一数字无疑已经大幅上升。2020年，Lazarus集团攻破了加密货币交易所KuCoin，抢走了价值2.75亿美元的虚拟货币，占当年所有被盗加密货币的一半。


有趣的是，据说Lazarus黑客通常不受金钱的驱使，这是他们与类似团体不同的一个特点。 这些国家行为者窃取敏感信息，进行破坏和其他各种行动，使朝鲜在政治或经济上受益。

自2006年以来，一些国家联合起来对朝鲜实施制裁，以遏制其敌对的核野心，并切断对其大规模杀伤性武器（WMD）项目的资助。这些禁令禁止了各种物品的出口，并阻止朝鲜进口原油和精炼石油产品。

然而，在今年早些时候的一份 联合国 报告中，成员们指称朝鲜通过多次网络攻击为自己提供资金，并可能通过这些黑客攻击积累了价值高达4亿美元的加密货币资产。据报道，联合国调查了朝鲜网络行为者在17个国家的至少35个漏洞。

Ronin漏洞是Lazarus集团迄今为止最大的抢劫案。 对孟加拉国中央银行的攻击本来可以保持这个头衔，因为黑客们原本计划拿走10亿美元。由于侥幸，他们没有成功，但让我们仔细看看占据这个位置的黑客；

---

Sky Mavis（该平台的开发团队）通过推特证实，Axie Infinity的Ronin区块链在3月23日遇到了安全漏洞。Ronin桥允许平台上的跨链互操作性。


玩家可以存入ETH或稳定币USDC等货币，以换取游戏内货币的NFT物品。此外，它促进了游戏内资产的销售让用户提取资金。漏洞发生后不久，开发商停止了网络上的所有交易。 黑客抢走了173,600个以太坊（大约6亿美元）和2550万美元的USDC，总金额达到6.25亿美元。

根据该团队发布的官方 ，攻击者利用受损的私钥，使他们能够进入网络的验证器节点。Ronin区块链由9个验证器节点组成；要完成一项交易（存款或提款），其中5个节点需要给予批准。黑客们获得了对网络中4个验证器的控制，以及由Axie DAO管理的第三方验证器签名。

恶意行为者用被破坏的私钥伪造了假提款，拉开了加密货币领域迄今为止最大的一次黑客攻击。


罗宁网络是如何被入侵的

---

值得注意的是，Axie Infinity的开发者直到3月29日才发现这次攻击，也就是在攻击发生6天后。该平台的一个用户曾试图从网络中提取5k以太坊；但是，他们无法做到，因此向团队提交了一份报告。

根据Sky Mavis的发布，这次攻击的起点是2021年11月。该团队需要Axie DAO的协助，在大量用户涌入后分发免费交易。DAO允许（allowlisted）Sky Mavis代替它签署一系列的交易。

到了年底，这已经没有必要了；但是，团队从未切断allowlist的访问。通过该平台的无气RPC，攻击者找到了系统的后门和DAO验证器的签名。 在这之后，他们继续将平台上超过6亿美元的资金抽走。

---

攻击发生后六天，开发团队就注意到了这个问题。然而，Sky Mavis在知道后迅速采取了措施来减轻损失。让我们来看看其中的一些步骤；

为了防范未来的漏洞，Axie Infinity团队首先采取的措施之一是提高验证器门槛。许多人对此事提出质疑，为什么团队一开始就把门槛定为5。在将数字提高到9后，Sky Mavis澄清说，最初的决定是因为一些节点没有赶上链，或者在同步过程中被卡住。

他们已经分享了随着时间的推移扩大验证器集的计划。除此之外，Sky Mavis开始将节点迁移到一个全新的框架。 该团队还暂时关闭了罗宁桥；Sky Mavis在报告中指出，一旦他们确定攻击者不能再窃取资金，他们将重新开放。

此外，为了安全起见，加密货币交易所平台Binance切断了与罗宁网络的连接。 Sky Mavis联系了顶级交易所的安全团队，并邀请Chainalysis追踪被盗的加密货币。

该团队表示，他们正在与执法官员合作，并向受影响的用户保证，无论资金是否被追回，他们都会得到补偿。

---

两周前，美国财政部与联邦调查局合作，对与国家支持的拉撒路集团和APT38有关的三个钱包地址实施制裁。 在这之后，区块链数据公司Chainalysis指出，其中一个被制裁的地址与攻击中使用的原始钱包有联系。

这些钱包已经收到了被盗资金的很大一部分，安全团队在利用后追踪了这些资金。调查仍在进行中；根据Elliptic，黑客已经清洗了约18%的被盗资金，而970万美元的资金仍在清洗前的中介钱包中。

结论

---

在黑客事件发生后，P2E游戏平台Axie Infinity的用户大量外流的情况引起了公众的注意。 一些人将损失归因于最近的漏洞；然而，数据显示，即使在那之前，该平台的日活跃用户（DAU）已经从800万骤降至微不足道的1。

虽然黑客攻击可能不是主要因素，但不可否认的是，自那以后它起到了一定的作用。随着对平台的信任度下降，Axie Infinity可能会看到更多用户退出。然而，Sky Mavis已经向用户保证会进行补偿，由投资者Binance、Animoca Brands、Paradigm和其他公司参与的一轮融资已经筹集了1.5亿美元。

Binance首席执行官Changpeng"CZ" 也在一条推文中分享说，该交易所已经收回了黑客钱包地址发送的价值580万美元的资金。 在与财政部和各政府机构的协调下，联邦调查局表示打算继续打击朝鲜的非法手段和网络犯罪等。


作者：。Gate.io Observer M．Olatunji
免责声明：
*本文仅代表观察员的观点，不构成任何投资建议。
*Gate.io保留对这篇文章的所有权利。只要引用Gate.io的文章，就允许转帖。在所有其他情况下，将因侵犯版权而采取法律行动。