AS bergerak untuk menyita $2,7 juta dari peretasan Lazarus yang dilacak melalui Tornado Cash, mixer lainnya

Dua tindakan penyitaan baru-baru ini yang diajukan oleh Jaksa AS untuk Distrik Columbia telah mengungkapkan detail baru tentang bagaimana peretas kripto Korea Utara mencuci dana mereka, saat pemerintah AS berupaya menyita sekitar $2,67 juta dalam bentuk mata uang kripto yang dicuri dalam dua peretasan besar. 

Pengaduan penyitaan, yang pertama kali diajukan pada hari Jumat, bertujuan untuk memulihkan sekitar $1,7 juta dalam bentuk Tether (USDT) yang dilacak melalui mixer Tornado Cash dari peretasan $28 juta yang dilakukan oleh Lazarus Group yang terkait dengan Korea Utara terhadap bursa opsi kripto Deribit pada November 2022 dan sekitar 15,5 Avalanche-bridged Bitcoin (BTC.b) senilai sekitar $971.000 pada harga saat ini dari peretasan $41 juta terhadap kasino kripto online Stake.com oleh kelompok tersebut. 

Dari Deribit ke Tornado

Pengajuan pertama dari dua pengajuan tersebut berkaitan dengan metode Lazarus Group dalam mencuci uang dari peretasan Deribit melalui mixer kripto Tornado Cash, layanan yang menjadi pusat dari persidangan pencucian uang yang akan datang yang diawasi dengan cermat oleh para pendukung kripto. Penegak hukum dapat melacak sebagian dari $28 juta dana yang dicuci dari pencurian tersebut, yang terjadi setelah peretas Korea Utara mendapatkan akses ke server dompet panas Deribit, menukar aset ke Ethereum, dan mengirimkannya melalui Tornado Cash hingga akhirnya menjadi stablecoin Tether di blockchain Tron, seperti yang ditunjukkan dalam diagram dari pengajuan tersebut. 

Pejabat penegak hukum melacak dana melalui Tornado dengan mencatat kesamaan antara dompet Ethereum tertentu. Dompet-dompet tersebut menerima transfer yang waktunya serupa (dalam hitungan menit satu sama lain), menggunakan jembatan lintas rantai yang serupa, menerima pendanaan untuk biaya transaksi dari alamat yang sama, dan menyimpan dana yang akhirnya berakhir di alamat konsolidasi yang sama. 

Para peretas mencoba mengonversi aset Ethereum ke USDT dalam tiga gelombang, karena dua upaya pertama untuk mencuci dana dihentikan ketika penegak hukum membekukan beberapa dana yang dipertanyakan. Upaya ketiga membuat para peretas berhasil mencuci sisa dana, meninggalkan penegak hukum dengan sekitar $1,7 juta dalam USDT yang dibekukan dari lima dompet terkait. 

Dari Stake.com ke Sinbad, Yonmix

Pengajuan kedua berkaitan dengan peretasan $41 juta oleh Lazarus Group terhadap kasino online Stake.com dan upaya mereka untuk mencuci dana dalam tiga tahap: konversi dana menjadi BTC melalui jembatan Bitcoin Avalanche, memindahkan BTC yang dicuri melalui mixer Bitcoin Sinbad dan Yonmix, dan akhirnya mengonversi Bitcoin menjadi stablecoin seperti USDT. Dana terkait dibekukan selama tahap pertama dan ketiga, kemungkinan melalui permintaan pembekuan aset ke Avalanche Bridge. 

Selama tahap pertama, penegak hukum membekukan aset dari tujuh transaksi yang umumnya melibatkan konversi aset yang dicuri menjadi token asli seperti token MATIC dari Polygon dan token BNB dari Binance Smart Chain dan kemudian menjembatani nilai tersebut ke Bitcoin melalui Avalanche Bridge. Namun, meskipun ada intervensi pemerintah, "orang-orang Korea Utara dapat mentransfer sebagian besar dana yang dicuri ke blockchain BTC," demikian pernyataan pengajuan tersebut. 

Setelah berada di Bitcoin, para peretas menggunakan mixer Sinbad dan Yonmix, yang menyediakan layanan serupa dengan Tornado Cash di Ethereum, untuk lebih mengaburkan pergerakan dana yang dicuri. "Penegak hukum melacak aliran dana yang dicuri melalui kedua layanan pencampuran ke tahap berikutnya dari proses pencucian peretas Korea Utara," demikian pernyataan pengajuan tersebut, meskipun setelah mengidentifikasi dompet konsolidasi, pejabat hanya dapat memulihkan tambahan 0,099 BTC, senilai sekitar $6.270 pada harga saat ini. 

Meskipun penegak hukum telah meningkatkan kemampuannya untuk melacak dan menyita mata uang kripto ilegal, Lazarus Group tetap aktif, dengan kelompok tersebut baru-baru ini disalahkan atas peretasan senilai $230 juta terhadap bursa kripto India WazirX

eksploitasi di antara serangan lainnya.