另外，如果攻击者意识到目标用户的加密货币是储存在硬件钱包，会拦截交易过程并注入恶意逻辑。当用户将资金转移到另一个账户时，交易就会在硬件钱包上签名。但是，鉴于该操作是由用户主动发起，不会引起自身的怀疑，然而攻击者不仅修改了收款人地址，还将转账数量拉到最大值。

这听上去很简单，但需要对 Metamask 扩展插件进行彻底分析，该扩展包含超过 6MB 的 JavaScript 代码（约 170,000 行代码），并实施代码注入让用户使用扩展时按需重写交易细节。

但是，攻击者对 Chrome 扩展的修改会留下痕迹。浏览器必须切换到开发者模式，并且 Metamask 扩展是从本地目录而不是在线商店安装的。如果插件来自商店，Chrome 会对代码强制执行数字签名验证并保证代码完整性，攻击者就无法完成攻击过程。

如何应对

随着加密生态规模的快速增长，Lazarus Group 对行业的威胁也在急剧增长。根据美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）和美国财政部近日共同发布的联合网络安全咨询（CSA），自 2020 年以来，朝鲜支持的高级持续威胁（APT）就已开始针对区块链和加密行业的各种组织，包括加密交易所、DeFi 协议、链游、加密贸易公司、加密风投以及持有大量代币和 NFT 的个人所有者。这些组织可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和洗钱以支持朝鲜政权。

为此，该报告提出的缓解措施包括应用纵深防御安全策略、强制执行凭据要求和多因素身份验证、在社交媒体和鱼叉式钓鱼中对用户进行社交工程教育等。

今日，知名加密安全组织慢雾也针对该现象发布防范建议：建议行业从业人员随时关注国内外各大威胁平台安全情报，做好自我排查，提高警惕；开发人员运行可执行程序之前，做好必要的安全检查；做好零信任机制，可以有效降低这类威胁带来的风险；建议 Mac/Windows 实机运行的用户保持安全软件实时防护开启，并随时更新最新病毒库。

在洗钱渠道方面，以太坊混币协议 Tornado Cash 近日也发推表示，该项目正在使用合规公司 Chainalysis 开发的工具来阻止美国外国资产控制办公室 (OFAC) 批准的特定加密钱包地址访问 DApp，这似乎是在对 Lazarus Group 的围追堵截。

不过 Tornado Cash 联合创始人Roman Semenov此后发推称，封锁仅适用于面向用户的去中心化应用程序（dapp），而不适用于底层智能合约。也就是说，此举更多地是象征性行动，很难实质性影响资深黑客通过 Tornado Cash 混币。 (责任编辑：admin)