L’analisi di Elliptic, società di analisi di blockchain, dimostra che Blender, mixer di criptovalute sanzionato per aver aiutato il gruppo Lazarus della Corea del Nord a riciclare decine di milioni di dollari in Bitcoin, è stato rilanciato come Sinbad e ha riciclato finora quasi 100 milioni di dollari in Bitcoin da hacking attribuiti a Lazarus.
🌪️ Blender is back! Elliptic research found that a coin mixer sanctioned for helping Lazarus Group launder tens of millions of dollars is likely to have re-launched as Sinbad and has laundered close to $100m in Bitcoin from hacks attributed to Lazarushttps://t.co/qSUPwIgPpq
— elliptic (@elliptic) February 13, 2023
Il gruppo Lazarus
Nel marzo del 2022 il gioco di criptovalute Axie Inifinity è stato violato e sono stati rubati 540 milioni di dollari in criptoasset. Poco dopo, l’Office of Foreign Assets Control (OFAC) del Tesoro statunitense ha annunciato sanzioni contro l’indirizzo Ethereum del ladro e ha identificato il proprietario come il Lazarus Group. Si tratta di un gruppo di criminalità informatica controllato dalla Corea del Nord, ritenuto responsabile del furto di criptoasset per un valore di miliardi di dollari. Nonostante le sanzioni, i fondi rubati sono stati rapidamente spostati tra diverse criptovalute e blockchain, utilizzando scambi decentralizzati e centralizzati e ponti cross-chain. Oltre a spostare i proventi del furto tra diverse blockchain e criptoasset, i mixer sono stati utilizzati anche per nascondere la traccia della blockchain. In risposta a ciò, l’OFAC ha imposto sanzioni su due dei mixer utilizzati , Tornado Cash e Blender, che, sono stati ritenuti responsabili del riciclaggio di un totale di oltre 475 milioni di dollari provenienti dall’hacking di Axie. Il primo dei due mixer continua a operare, mentre il secondo ha cessato l’attività nell’aprile 2022. Si ritiene che l’operatore di Blender abbia prelevato circa 22 milioni di dollari in Bitcoin dal mixer prima di scomparire. Nel giugno 2022 c’è stata un’altra grande rapina di criptovalute, con il furto di 100 milioni di dollari da un altro cross-chain bridge: Horizon, di cui l’FBI ha ritenuto responsabile il gruppo di hacker legato alla Corea Del Nord. Ancora una volta, i proventi sono stati riciclati attraverso una complessa serie di transazioni che hanno coinvolto exchange, cross-chain bridge e mixer. Anche in questo caso è stato utilizzato Tornado Cash, ma al posto di Blender è stato utilizzato un altro mixer di Bitcoin: Sinbad.
Sinbad
Sinbad è stato lanciato all’inizio di ottobre del 2022 e, nonostante le sue dimensioni relativamente ridotte, ha iniziato presto a essere utilizzato per riciclare i proventi degli hack di Lazarus. Decine di milioni di dollari provenienti da Horizon e da altri hack legati alla Corea del Nord sono passati attraverso Sinbad e continuano a farlo, a dimostrazione della fiducia nel nuovo mixer. Come Blender, Sinbad è un mixer custodiale, il che significa che il suo operatore ha il pieno controllo sui criptoasset depositati al suo interno. L’analisi di Elliptic indica che Sinbad è in realtà molto probabile che sia un rebrand di Blender, con lo stesso individuo o gruppo responsabile.

L’analisi delle transazioni della blockchain mostra che, prima del lancio pubblico, un indirizzo di “servizio” sul sito web di Sinbad ha ricevuto Bitcoin da un portafoglio che si ritiene controllato dall’operatore di Blender, presumibilmente per testare il servizio. Inoltre un portafoglio Bitcoin utilizzato per pagare persone che promuovevano Sinbad, ha ricevuto a sua volta Bitcoin dal portafoglio del sospetto operatore di Blender. Infine, quasi tutte le prime transazioni in entrata a Sinbad (circa 22 milioni di dollari) provenivano dal portafoglio del sospetto operatore di Blender.
Il modello di comportamento sulla catena è molto simile per entrambi i mixer, comprese le caratteristiche specifiche delle transazioni e l’uso di altri servizi per offuscare le loro transazioni. Il funzionamento del mixer Sinbad è identico a quello di Blender sotto diversi aspetti, tra cui codici del mixer a dieci cifre, lettere di garanzia firmate dall’indirizzo del servizio e un ritardo massimo di sette giorni per le transazioni.