يقوم Yicong Wang، وهو تاجر صيني خارج البورصة، بغسل العملات المشفرة المسروقة لصالح مجموعة القرصنة الكورية الشمالية سيئة السمعة المعروفة باسم Lazarus Group منذ عام 2022.
وقد ساعد وانغ، المعروف باستخدام أسماء مستعارة مثل Seawang وGreatdtrader وBestRhea977، في تحويل عشرات الملايين من الدولارات من العملات المشفرة المسروقة إلى cash من خلال التحويلات المصرفية.
كشف المحقق عبر السلسلة ZachXBT عن تورط Wang بعد أن تواصلت إحدى الضحايا في وقت سابق من العام للإبلاغ عن تجميد حسابهم بعد إكمال معاملة P2P مع المجرم. كما قاموا بتزويد Zach بعنوان محفظة TRON الذي يستخدمه Wang، المأخوذ من محادثة WeChat.
دور وانغ في غسل العملات المشفرة المسروقة
كشف بحث زاك أن Yicong Wang سهل غسل الأموال المسروقة من المتسللين ذوي الصلة بـ Lazarus مثل تلك الموجودة في Alex Labs وEasyFi وBondly والمؤسس المشارك لـ Irys.
على وجه التحديد، قام أحد العناوين التي يسيطر عليها وانغ بتجميع 17 مليون دولار من هذه الاختراقات، مع إدراج 374 ألف دولار أمريكي في القائمة السوداء بواسطة Tether في نوفمبر 2023. وبعد هذه القائمة السوداء، تم نقل الأموال المتبقية بسرعة إلى Tornado Cash ، خلاط العملات المشفرة سيئ السمعة.
بين نوفمبر وديسمبر 2023، تم سحب 13 معاملة بقيمة 100 إيثريوم ونقلها إلى عنوان Ethereum مختلف. وفي وقت لاحق من شهر ديسمبر، تم تحويل مبلغ 45 ألف دولار أمريكي إلى TRON ، ووصل في النهاية إلى محافظ مرتبطة بوانغ.
على الرغم من محاولات Tether لإدراج هذه الأموال في القائمة السوداء، فقد قام بنقل الأموال بكفاءة من خلال خدمات خلط العملات المشفرة.
أدى هجوم Lazarus على Alex Labs في مايو 2024 إلى خسارة 4.5 مليون دولار. وبعد فترة وجيزة، قام أحد العناوين المخترقة بإيداع 470 إيثريوم في بروتوكول الخصوصية.
وتم سحب نفس المبلغ وتحويله إلى عنوانين جديدين خلال ساعات. واتبعت 449 إيثريوم أخرى نفس النمط في الفترة من 27 إلى 28 يونيو من هذا العام، وانتهى بها الأمر في حسابات وانغ.
تم غسل المزيد من العملات المشفرة المسروقة
وفي يوليو/تموز، شنت مجموعة Lazarus هجومًا آخر، استهدف هذه المرة المؤسس المشارك لشركة Irys. لقد استخدموا حملة بريد إلكتروني للتصيد الاحتيالي لسرقة 1.3 مليون دولار من العملات المشفرة. اتبعت عملة ETH المسروقة نفس المسار كما كان من قبل، حيث قام وانغ بتسهيل عملية غسيل الأموال.
في 31 يوليو، تم إيداع 70.8 إيثريوم مسروقة في بروتوكول الخصوصية، تليها 338 إيثريوم أخرى. مرة أخرى، تم إرسال هذه الأموال إلى عناوين متعددة قبل أن ينتهي بها الأمر في محافظ وانغ TRON .
بحلول 13 أغسطس، كان وانغ قد قام بغسل مبلغ آخر قدره 1.5 مليون دولار أمريكي من عمليات اختراق مجموعة Lazarus Group. خلال هذه الفترة، تم تحويل الأموال من Ethereum إلى TRON ، وربطها مباشرة بحساباته.
وأظهرت التحقيقات في هذه المعاملات أن عنوان Ethereum الذي أدرجته شركة تيثر في القائمة السوداء في أغسطس، والذي يحتوي على ٩٤٨ ألف دولار أمريكي، كان مرتبطًا أيضًا بوانغ.
قبل إدراجه في القائمة السوداء، تم تحويل 746 ألف دولار أمريكي إلى أحد عناوينه. لم يتوقف وانغ حتى بعد أن تم حظره من منصات رئيسية مثل Paxful وNoones بتهمة غسيل الأموال.
على الرغم من إغلاق حساباته تحت الأسماء المستعارة، واصل وانغ إجراء المعاملات خارج الموقع، ومساعدة مجموعة لازاروس في غسيل الأموال.
تهديد لازاروس المستمر لصناعة العملات المشفرة
اعتبارًا من 23 أكتوبر 2024، تظل Lazarus Group واحدة من أخطر التهديدات التي تواجه صناعة العملات المشفرة. ويستمرون في تنفيذ عمليات اختراق رفيعة المستوى، مستهدفين المنصات المركزية واللامركزية.
وقد أصبحت أساليبهم معقدة على نحو متزايد، وذلك باستخدام حملات الهندسة الاجتماعية مثل "Eager Crypto Beavers" لخداع محترفي البلوكتشين وحملهم على تنزيل البرامج الضارة. تسرق هذه البرامج الضارة بيانات dent والوصول إلى محافظ العملات المشفرة، مما يسهل على Lazarus استنزاف الأموال.
وفي عام 2024 وحده، كانت مجموعة القرصنة مسؤولة عن العديد من عمليات الاختراق الكبرى. وفي يوليو، قاموا باختراق بورصة العملات المشفرة الهندية WazirX، مما أدى إلى خسائر تزيد عن 235 مليون دولار.
واستهدفوا أيضًا منصات مركزية مثل Stake.com، التي خسرت 41 مليون دولار في سبتمبر 2023، وDeribit، التي تكبدت خسارة قدرها 28 مليون دولار في نوفمبر 2022.
وبينما أحرزت أجهزة إنفاذ القانون بعض التقدم، إلا أن استرداد الأموال المسروقة كان أمرًا صعبًا. تعمل وزارة العدل الأمريكية (DOJ) بنشاط على trac واستعادة العملات المشفرة التي سرقها Lazarus، لكن أساليب غسيل الأموال التي تتبعها المجموعة تجعل هذا الأمر صعبًا.
في وقت سابق من هذا الشهر، رفعت وزارة العدل دعاوى قضائية لاسترداد أكثر من 2.67 مليون دولار من الأصول الرقمية المسروقة المرتبطة باختراقات Deribit وStake.com. لكن هذه الجهود لا تمثل سوى جزء بسيط من إجمالي المبلغ الذي سرقه لعازر.