Trong quá trình phân tích, SlowMist phát hiện hacker CoinEx có thể chính là nhóm hacker Lazarus Group của Triều Tiên, các mối liên hệ cụ thể như sau:

1. Alphapo Exploiter đã biết (TDrs...WVjr) đã trao đổi TRX lấy ETH thông qua TransitSwap và liên kết chéo nó với địa chỉ (0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d), do đó, địa chỉ này cũng được đánh dấu là Alphapo Exploiter trên chuỗi ETH.

2. Địa chỉ hacker 0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d được đánh dấu là Alphapo Exploiter trên chuỗi ETH và là Stake.com Exploiter trên chuỗi BSC, có nghĩa là địa chỉ này là địa chỉ dùng chung;

3. 0x75497999432B8701330fB68058bd21918C02Ac59 được đánh dấu là CoinEx Exploiter trên chuỗi ARB và OP, cũng như là Stake.com Exploiter trên chuỗi Polygon, có nghĩa là địa chỉ này là địa chỉ dùng chung. Vì Stake.com Exploiter đã được FBI liên kết với nhóm hacker Triều Tiên Lazarus Group, Alphapo Exploiter, Stake.com Exploiter và CoinEx Exploiter đều có thể là thành viên của nhóm hacker Triều Tiên Lazarus Group.