Злоумышленники из группировки Lazarus Group взломали несколько криптобирж и похитили около $200 млн. Взломы произошли с августа 2020 по октябрь 2023 года. В первом случае хакеры украли $370 000 с канадской биржи CoinBerry, затем $400 000 с платформы Unibright и $750 000 у CoinMetro. Lazarus Group перемещала похищенные средства через промежуточные кошельки и консолидировала их на одном адресе в январе 2021 года. Затем они поступали на счет хакеров в Tornado Cash и выводились на Ethereum-адрес. Далее средства объединялись с активами от других краж и выводились на P2P-платформы Paxful и Noones.
14 декабря 2020 года хакеры похитили $8,3 млн из кошелька основателя Nexus Mutual Хью Карпа. Часть средств была выведена в Ethereum через Ren Project и консолидирована с активами от других краж. В марте 2021 года похищенная криптовалюта была прогонялась между сетями биткоина и Ethereum через ChipMixer. В апреле небольшую часть средств продали, а остальные поступили на биржу Bixin, платформы Paxful и Noones.
В апреле 2021 года хакеры похитили $81 млн у основателя EasyFi Анкитта Гауры. Похищенные активы были отправлены на новые адреса через кроссчейн-переводы, затем прошли через ChipMixer и вернулись в сеть Ethereum через протокол Ren. Часть средств была отправлена на биржу Binance. В июне 2022 года средства с двух адресов были консолидированы с другими незаконно полученными криптовалютами и отправлены на Paxful и Noones.
В июле 2021 года произошел взлом Bondly, в результате которого было похищено $8,5 млн. Все активы прошли миксер Tornado Cash и поступили на новые Ethereum-адреса. В июне 2022 года они попали на биржу Binance, а затем уходили на Paxful и Noones.
В августе и сентябре 2021 года произошли неизвестные хаки, в результате которых несколько человек потеряли $2 млн. Хакеры конвертировали активы в ETH, вывели на единый адрес и отправили в Tornado Cash. Затем средства объединили с другими нелегальными доходами и распределили по биржам.
В октябре 2021 года произошли взломы MGNR и PolyPlay. MGNR потеряла $24 млн, а PolyPlay – $1,6 млн. В обоих случаях активы были конвертированы в Ethereum, прошли через Tornado Cash и оказались на адресах Lazarus Group. С лета 2022 года средства уходили на Paxful и Noones.
В ноябре 2021 года произошел взлом bZx, в результате которого хакеры получили $55 млн. Криптовалюта была замиксована с активами от других взломов и поступила на Paxful.
В августе 2023 года произошли взломы Steadefi и CoinShift, в результате которых пользователи потеряли $1,2 млн. Средства были отправлены на Tornado Cash, объединены и конвертированы в USDT, а затем поступили на счета хакеров в Paxful и Noones.
Всего аккаунты Lazarus Group на P2P-платформах Paxful и Noones получили $44 млн с июля 2022 по ноябрь 2023 года. Далее хакеры перешли на новые адреса. Средства были конвертированы в фиат через банковские переводы или получение наличных. Часть средств была заморожена на централизованных биржах, а трое из четырех эмитентов стейблкоинов заблокировали дополнительные $3,4 млн на адресах, принадлежащих киберпреступникам.