26/02/25
Специалисты утверждают, что в операции замешана северокорейская группировка Lazarus.
Lazarus использует платформу Pump.fun на блокчейне Solana для легализации похищенных активов. В ходе расследования выяснилось, что группа перевела 50 SOL (около $8000) на кошелёк, связанный с запуском токена QinShihuang. Спустя короткое время его капитализация достигла $3 млн, а торговый объём за сутки превысил $44 млн, пишет Securitylab.
Специалисты поясняют, что хакеры привлекли реальную ликвидность пользователей Pump.fun, смешивая её с украденными средствами. После того как активы получили достаточный оборот, хакеры распродали токены, обналичили выручку и распределили её по множеству кошельков, затруднив отслеживание.
Хотя отмытая сумма значительно меньше похищенных $1,46 млрд., аналитики предупреждают, что это может быть лишь тестовая операция. Если метод окажется эффективным, Lazarus, возможно, продолжит его использовать в будущем.
Представитель Coinbase обратил внимание на ещё один инцидент: кто-то отправил Северной Корее мемкоин «Lazerus», который затем обменяли на тысячи долларов в SOL. Специалист напомнил криптотрейдерам, что любые финансовые операции с КНДР являются международным преступлением.
Дополнительное расследование показало, что Lazarus может стоять за несколькими запусками мемкоинов через Pump.fun. Исследователь ZachXBT, ранее доказавший причастность группы ко взлому Bybit, обнаружил более 920 кошельков, которые получали средства из украденных активов. Все токены впоследствии переводились на различные биржи и сервисы.
Аналитики подчеркивают, что использование мемкоинов и DeFi-платформ становится популярной тактикой для отмывания похищенных средств. Однако растущее внимание со стороны правоохранителей и аналитиков может усложнить хакера дальнейшее использование подобных схем.
