深度剖析：2023年朝鲜黑客Lazarus Group、钓鱼团伙与洗钱工具威胁全景

查找币:余老师 | 漏洞披露 | 2026-05-09 21:52 | 2 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 引言在上一期报告中，我们已对2023年区块链安全整体态势进行了全面解读。本期，查找币安全团队将聚焦于三个关键威胁主体：朝鲜黑客组织Lazarus Group、活跃的钓鱼团伙Wallet Drainers，以及它们所依赖的洗钱工具。通过深入分析其攻击手法、资金流向与团伙画像，我们旨在为行业提供更具针对性的防御策略。 --- ## 一、Lazarus Group：蛰伏与突袭的“黑暗101日” ### 1.1 2023年动态：从清洗到APT攻击截至2023年6月，公开信息显示，Lazarus Group并未直接发起重大加密货币盗窃案。其链上活动主要集中在清洗2022年窃取的资金，包括2022年6月23日Harmony跨链桥攻击中损失的约1亿美元。然而，事实表明，该团伙并未真正“休息”。他们暗中进行APT（高级持续性威胁）攻击活动，直接引发了从6月3日开始的加密货币行业“黑暗101日”。在此期间，共有5个平台被盗，总损失超过3亿美元，且受害者多为**中心化服务平台**。 ### 1.2 攻击手法：身份伪装与精准木马投放 2023年9月12日，查找币联合合作伙伴监测到Lazarus Group针对加密货币行业的大规模APT攻击。其攻击链如下： - **身份伪装**：通过实人认证，骗过审核成为真实客户，并完成真实入金存款。 - **精准投毒**：利用客户身份掩护，在多个官方人员与攻击者的沟通节点，针对性地投放Mac或Windows定制木马。 - **横向移动**：获取权限后，在内网横向移动，长期潜伏，最终盗取资金。 ### 1.3 FBI官方确认事件美国联邦调查局（FBI）持续关注Lazarus Group的动向，并发布多份新闻稿确认其责任： - **1月23日**：FBI确认Lazarus Group对Harmony Hack事件负责。 - **8月22日**：FBI通告称，该团伙涉及Atomic Wallet、Alphapo和CoinsPaid的黑客攻击，共窃取约1.97亿美元加密货币。 - **9月6日**：FBI确认Lazarus Group对Stake.com被盗4100万美元事件负责。 --- ## 二、洗钱方式进化：从混币到跨链桥根据查找币安全团队的分析，Lazarus Group的洗钱手法随时间不断进化，呈现出明显的阶段性特征： | 时间阶段 | 主要洗钱方式 | 特点 | |----------|--------------|------| | 2022年 | 混币器（如Tornado Cash） | 匿名性高，但受监管打击 | | 2023年初 | 跨链桥 | 利用不同链间的流动性漏洞 | | 2023年中 | 去中心化交易所（DEX） | 通过闪电贷、流动性池快速转移 | | 2023年末 | 隐私协议（如Railgun） | 结合零知识证明，增强隐蔽性 | **关键发现**：2023年初，FBI指出Lazarus Group使用Railgun清洗从Harmony Horizon Bridge窃取的超过6000万美元资金。链上数据显示，这些资金均从Railgun合约地址发出。 --- ## 三、钓鱼团伙Wallet Drainers：规模化攻击的“接力棒” > 本部分数据与洞察由Web3反诈骗平台Scam Sniffer提供，特此致谢。 ### 3.1 攻击模式与规模 Wallet Drainers是一种专门针对加密货币钱包的恶意软件，部署在钓鱼网站上，诱导用户签署恶意交易，从而盗取资产。2023年，这类攻击呈现**规模化、接力式**特点： - **受害者数量**：约32万名用户受到影响。 - **被盗总额**：接近2.95亿美元。 - **攻击频率**：平均每天发生数百起钓鱼事件。 ### 3.2 攻击流程 1. **诱导访问**：通过空投、虚假项目、社交媒体广告等方式，引导用户访问钓鱼网站。 2. **签名陷阱**：伪造授权交易，如“领取空投”“验证身份”，诱导用户签署恶意合约。 3. **资产转移**：一旦签名，攻击者立即通过DEX、跨链桥等工具转移资产。 ### 3.3 团伙画像与协作模式 - **分工明确**：包括“钓鱼页面开发者”“流量获取者”“洗钱执行者”等角色。 - **接力洗钱**：不同团伙之间形成“接力链”，快速将赃款分散至多个地址和链上。 - **技术迭代**：攻击者持续更新钓鱼页面设计，模仿正规项目UI，降低用户警惕性。 --- ## 四、洗钱工具剖析：隐私协议与混币器 ### 4.1 Railgun：隐私协议的双刃剑 Railgun是一种基于零知识证明的隐私协议，允许用户在不公开交易细节的情况下进行转账。尽管其初衷是保护用户隐私，但已被Lazarus Group等黑客团伙滥用。 - **工作原理**：用户将资产存入Railgun合约，生成零知识证明，再从新地址提取。 - **风险点**：合约本身无法区分合法用户与黑客，导致成为洗钱“避风港”。 ### 4.2 Tornado Cash：监管打击后的“余波” 尽管Tornado Cash已被美国制裁，但其代码仍被仿制或分叉。2023年，部分钓鱼团伙仍尝试使用其变种进行洗钱，但成功率大幅下降。 --- ## 五、防御建议：如何应对这些威胁？基于以上分析，查找币安全团队提出以下防御建议： ### 5.1 针对Lazarus Group的APT攻击 - **强化身份验证**：对客户身份进行多维度核验，包括视频认证、生物特征比对。 - **内网隔离与监控**：对关键系统进行网络分段，部署EDR（端点检测与响应）工具。 - **员工安全意识培训**：定期模拟钓鱼攻击，提升对恶意链接和附件的识别能力。 ### 5.2 针对Wallet Drainers钓鱼攻击 - **交易签名前核实**：使用钱包插件（如MetaMask）时，仔细检查交易详情，避免签署未知合约。 - **启用硬件钱包**：对高价值资产使用硬件钱包，降低被恶意签名风险。 - **安装安全插件**：使用Scam Sniffer等反钓鱼插件，实时检测恶意网站。 ### 5.3 针对洗钱工具 - **链上监控**：部署AML（反洗钱）系统，对涉及隐私协议、混币器的交易进行实时预警。 - **跨链追踪**：建立跨链数据分析能力，追踪资产在不同链之间的转移路径。 --- ## 六、总结 2023年，Lazarus Group在清洗旧资金的同时，通过APT攻击发动了“黑暗101日”系列事件，造成超3亿美元损失。与此同时，钓鱼团伙Wallet Drainers以规模化、接力式攻击模式，从32万受害者手中窃取近3亿美元。这些威胁的共性在于：**攻击者不断进化洗钱手法，从混币器到跨链桥，再到隐私协议，始终试图规避监管与追踪**。查找币安全团队将持续关注这些威胁实体的动态，输出团伙画像与防御策略。我们相信，通过行业协作与技术创新，能够有效遏制此类攻击的蔓延。 --- *本文由查找币安全团队整理发布*

深度剖析：2023年朝鲜黑客Lazarus Group、钓鱼团伙与洗钱工具威胁全景

查找币安全研究院

主题延伸阅读