หลักฐานออนเชนระบุชัดเจนชี้ชัดกลุ่มแฮ็กเกอร์ Lazarus จากเกาหลีเหนืออยู่เบื้องหลังการแฮ็ก Bybit มูลค่า 1.4 พันล้านดอลลาร์ และ Phemex มูลค่า 29 ล้านดอลลาร์ โดยใช้กระเป๋าเงินเดียวกันในการฟอกเงินผ่านโปรโตคอล Tornado Cash
หลังจากที่แพลตฟอร์ม Bybit ถูกเจาะระบบเมื่อวันที่ 21 ก.พ. ผู้โจมตีขโมยสินทรัพย์ดิจิทัลมหาศาล ทั้ง Ether ที่ถูกสเตกผ่าน Lido (stETH), Mantle (mETH) และโทเค็น ERC-20 อื่นๆ รวมกันกว่า 1.4 พันล้านดอลลาร์ โดยนักวิเคราะห์จาก Arkham Intelligence และ ZachXBT ยืนยันว่า Lazarus เป็นผู้บงการ พร้อมเผยว่ากระเป๋าเงินที่ใช้แฮ็ก Phemex ในเดือน ม.ค. เป็นบัญชีเดียวกัน
ZachXBT เปิดเผยผ่าน X เมื่อ 22 ก.พ. ว่า “Lazarus Group ได้โยกเงินที่ขโมยมาจาก Bybit และ Phemex เข้าไว้ในกระเป๋าเงินเดียวกัน” โดยในรายงานยังพบว่า Phemex สูญเงิน 29 ล้านดอลลาร์จากการแฮ็กผ่านเครือข่ายบล็อกเชน 11 แห่ง ก่อนถูกแปลงเป็น Ether ผ่าน Tornado Cash เพื่อปกปิดร่องรอย
การแฮ็ก Bybit ครั้งนี้นับเป็นเหตุโจรกรรมคริปโตครั้งใหญ่สุดในปี 2567 คิดเป็นกว่า 61% ของเงินที่ถูกขโมยทั้งหมดในปีนี้ Meir Dolev ผู้ร่วมก่อตั้ง Cyvers เผยว่าเทคนิคของแฮกเกอร์คือการล่อลวงให้ผู้ลงนามอนุมัติธุรกรรมอันตรายที่แฝงมากับสัญญาอัจฉริยะ ทำให้สามารถเข้าควบคุมกระเป๋าเงินเย็น (Cold Wallet) ของ Bybit และขโมย ETH ทั้งหมดไปยังบัญชีไม่ทราบที่มา
ก่อนหน้านี้ Lazarus Group เคยมีประวัติแฮ็กครั้งใหญ่หลายครั้ง เช่น การโจมตี Ronin Network มูลค่า 600 ล้านดอลลาร์ และ WazirX มูลค่า 230 ล้านดอลลาร์ ข้อมูลจาก Chainalysis ชี้ว่าแฮกเกอร์เกาหลีเหนือขโมยเงินจากคริปโตแล้วกว่า 1.34 พันล้านดอลลาร์ในปี 2567 เพิ่มขึ้น 102% จากปีก่อน
ก่อนหน้านี้เมื่อ 14 ม.ค. สหรัฐฯ ญี่ปุ่น และเกาหลีใต้ออกคำเตือนร่วมกันเกี่ยวกับภัยคุกคามจาก Lazarus ที่พุ่งเป้าโจมตีอุตสาหกรรมคริปโตทั่วโลก ซึ่งรวมถึงการแฮ็กแพลตฟอร์ม Bitcoin DMM, Upbit และ Radiant Capital รวมมูลค่ากว่า 400 ล้านดอลลาร์ ขณะที่รัฐบาลเกาหลีใต้ลงโทษชาวเกาหลีเหนือ 15 ราย ที่ถูกกล่าวหาว่าระดมทุนให้โครงการพัฒนาอาวุธนิวเคลียร์ผ่านการแฮ็กและฟอกเงินดิจิทัล
ขณะนี้ หน่วยงานความมั่นคงไซเบอร์ทั่วโลกกำลังเร่งติดตามและขยายผลเครือข่าย Lazarus เพื่อสกัดกั้นการโจรกรรมทางไซเบอร์ที่ส่งผลกระทบต่อเศรษฐกิจดิจิทัลทั่วโลก
