确认朝鲜黑客与Harmony Horizon攻击有关

事件回顾

Harmony Horizon是一种以太坊跨链服务。2022年6月，Harmony Horizon遭遇黑客攻击，攻击者控制MultiSigWallet contract（多签钱包合约）的所有者来直接调用confirmTransaction()来进行转账，并成功转移了大量以太币。Certik安全研究人员共发现了12个用于攻击的恶意交易和3个恶意地址。交易金额从49178美元到41200000美元不等。攻击对Harmony Horizon造成约9700万美元的损失。

FBI回应

1月23日，美国FBI网站发文称，经过与多个联邦政府组织合作，最终确认2022年6月Harmony Horizon被黑事件背后的黑客组织是朝鲜Lazarus（APT 38）黑客组织。2023年1月13日，朝鲜黑客使用RAILGUN（一个隐私协议）对2022年6月从Harmony Horizon窃取的41000以太币（ETH）（价值6350万美元）进行洗钱活动。被窃的部分以太币随后发送到了多个虚拟资产服务提供商，还有部分以太币被转成了比特币。

图 Lazarus洗钱图

目前，已经识别出朝鲜Lazarus黑客组织控制的超过350个地址。通过与虚拟资产服务提供商协作，目前部分被窃的资金已经被冻结。币安称，通过与火币协作成功拦截（冻结）了从Harmony Horizon窃取的124比特币（价值约250万美元）。攻击活动中识别的其他比特币已被转到以下地址：

1BK769SseNefb6fe9QuFEi8W4KGbtP8gi315FcqYRbwh2JsRUyBjvZ4jJ2XAD3pycGch1HwSof6jnbMFpfrRRa2jvydYdopkkGB4Sn15emeZ7buVegqhYh9PekH7cwFEJcCeVNpS3MSbCJCYtx5sj1nkzD4AMEhhvvviXBc8XJ17Z79rZpkk8kUiJseg5aELwYKaoLnirMUnbc1qp2vvntdedxw4xwtyd4y3gc2t9ufk6pwz2ga4ge3P9WebHkiDxCi8LDXiRQp8atNEagcQeRA337fnBxofDeph2fpBZxZKypNkwdXAt9nT6F185NxhFAmKZrdwn9rVga3kqbvDP4FkbTNw12283Cq1pJ3f1gXwqi6K3bRf5LZb8Bkm6g

Lazarus 其他攻击活动

近年来，经常爆出朝鲜黑客组织攻击加密货币公司和个人用户窃取加密货币资产的事件。其中，Lazarus通过传播木马化的加密货币钱包和交易应用来窃取受害者的钱包。

2022年4月，美国司法部和FBI确认Lazarus黑客组织与区块链游戏Axie Infinity窃取的价值6170万美元的以太币和USDC token有关。

关于Harmony Horizon被黑的技术分析参见：https://www.certik.com/resources/blog/2QRuMEEZAWHx0f16kz43uC-harmony-incident-analysis

FBI官网发文参见：https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft