朝鲜黑客或为Phemex加密交易所数千万美元被盗事件幕后黑手

据多位区块链安全专家分析，朝鲜黑客可能是新加坡Phemex加密交易所数千万美元被盗事件的幕后黑手。本周四，这家总部位于新加坡的交易所遭遇黑客攻击，损失了价值超过7000万美元的多种加密货币。

事件经过

本周四早些时候，Phemex交易所在接到多家区块链安全公司关于可疑活动的警报后，暂停了提款服务。当时已有约3000万美元被盗，但攻击似乎仍在继续，更多代币被窃取。Phemex首席执行官Federico Variola在社交媒体X上表示：“我们正在调查一个热钱包的报告，请放心，我们的冷钱包仍然安全，大家可以在这里查看，我们将尽快发布更多更新。”

攻击模式分析

此次攻击似乎遵循了其他知名加密交易所遭遇的类似威胁模式。MetaMask首席安全研究员Taylor Monahan告诉The Block：“每次盗窃或诈骗都有其特定的链上行为，这些行为可以告诉你很多信息，比如可能发生了什么，涉及多少人，以及威胁行为者的经验程度。在这个案例中，我们看到大量不同的资产在多条链上同时被窃取。随后，这些代币立即被交换为本机资产，从可冻结的稳定币开始，然后按价值依次进行。”

与许多攻击类似，攻击者似乎首先瞄准了大额资产，如基础层代币，包括在攻击早期窃取的BTC、ETH和SOL，以及稳定币。值得注意的是，攻击者迅速将可冻结的数百万美元USDC和USDT兑换为ETH。随着时间的推移，攻击者似乎开始瞄准不太知名的代币。例如，最后三笔交易涉及价值1000美元的ARPA、997美元的ZRC和1020美元的NKN。然而，数百种不同的代币被盗。根据Arkham的数据，攻击者似乎搜刮了交易所钱包中几乎所有剩余资产，通常只留下价值几美分的不太知名的山寨币。

攻击者身份推测

Monahan表示：“所有这些活动都在同时进行，但不是脚本化的。资产被手动发送到新地址进行交换，完成后又被转移到另一个新地址。然后这些资产会一直存放，直到真正的洗钱团队在下周或下个月接手。”由于交易数量和涉及的区块链范围广泛，这次攻击很可能是“一群多次实施此类行为”的威胁行为者所为。

化名“crypto threats investigator”的SomaXBT.eth表示，一个与朝鲜有关联或位于朝鲜的组织可能是此次攻击的幕后黑手。他说：“攻击向量与他们的攻击相似。我从未在其他链上看到过他们的活动。”另一位不愿透露姓名的安全研究人员表示，这次攻击让他们想起了TraderTraitor，这是一个被FBI认为是日本交易平台DMM遭受3.08亿美元攻击幕后黑手的国家支持组织。

交易细节

根据Etherscan的数据，至少有275笔交易涉及EVM链。该组织至少有八个地址在以太坊基础链上窃取资产，还有在Arbitrum、Base、Polygon、Optimism和zkSync等Layer 2上的地址。与此次攻击相关的主要钱包（以0x5b34开头）至少有4400万美元流经该地址。它还有在Avalanche、Binance Smart Chain、Polkadot、Solana和Tron上窃取资产的地址。

根据各种区块链浏览器的数据，至少有价值1600万美元的SOL、1200万美元的XRP和500万美元的比特币被盗。Phemex目前仍持有约18亿美元的加密资产。其中大部分是其交易所代币PT，占其持有量的11亿美元。其接下来的两大持有资产是价值3.55亿美元的比特币和价值2.09亿美元的USDT。

后续处理

该交易所在交易量上排名第55位，在CoinGecko的信任评分中排名第37位，表示正在为受黑客攻击影响的用户“制定补偿计划”。与此次攻击相关的地址交易似乎在东部时间上午10点左右（平壤时间午夜）停止了。

我的自选

专家称朝鲜黑客组织或为Phemex平台7000万美元失窃案幕后黑手