Hack de HTX : Lazarus Group commence à blanchir les fonds volés
En novembre dernier, la plateforme d’échange HTX et le pont cross-chain Heco ont été victime d’une attaque simultanée. Au total, 112,5 millions de dollars ont été dérobés par les hackers. Après des mois d’enquête, Elliptic a retrouvé la piste de l’attaquant qui n’était autre que Lazarus Group. Revenons sur cette affaire.
Lazarus Group à l’origine du hack de HTX et Heco
Après l’attaque massive enregistrée par HTX et Heco, de nombreuses entités ont commencé à enquêter. Rapidement, plusieurs internautes ont comparé les schémas de transactions avec ceux de précédents hacks. L’analyse de ces schémas a révélé une importante ressemblance avec ceux utilisés par le groupe de hacker Lazarus Group.
Pour rappel, Lazarus est un groupe de hacker nord-coréen extrêmement actif dans l’écosystème des cryptomonnaies. Ils sont à l’origine du vol de centaines de millions de dollars et sévissent depuis plusieurs années.
Finalement, le 14 mars, les équipes d’Elliptic, une entreprise spécialisée dans l’analyse de blockchain, ont publié un rapport sur le hack de HTX. Ce rapport survient au lendemain d’un mouvement sur le wallet qui détenait les fonds dérobés à HTC et Heco.
Mouvement sur les fonds dérobés à HTX
Après avoir dérobé les fonds, en novembre dernier, les hackers ont directement converti ces derniers en ETH. L’adresse détenant les fonds a ensuite été inactive jusqu’au 13 mars.
Sans grande surprise, les hackers ont entrepris de blanchir les fonds dérobés. Pour cela, il se sont tournés vers le protocole d’anonymisation Tornado Cash. Au total, 60 transactions ont été réalisées et 23 millions de dollars en ETH ont été envoyés sur Tornado Cash.
Comme le souligne Elliptic, l’usage de Tornado Cash est pour le moins surprenant. En effet, depuis la mise sur liste noire de Tornado Cash par le Trésor américain, le protocole n’était plus utilisé par Lazarus.
Lazarus optait plutôt pour des mixers tels que Sinbad ou Blender. Toutefois, ces deux services ont été saisis par les autorités américaines et mis hors ligne. De son côté, bien que sur liste noire, le protocole Tornado Cash, par sa nature décentralisée, est inarrêtable.
« Ce changement de comportement et le retour à l’utilisation de Tornado Cash reflètent probablement le nombre limité de mélangeurs à grande échelle aujourd’hui en activité, grâce au démantèlement par les forces de l’ordre de services tels que Sinbad et Blender. »
En 2023, les pratiques de Lazarus avaient justement changé, passant de Tornado Cash aux mixers. Ces derniers ont également fréquemment recours aux ponts cross-chain pour complexifier la traque des fonds.