ในระหว่างกระบวนการวิเคราะห์ SlowMist ค้นพบว่าแฮกเกอร์ CoinEx อาจเป็นกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group การเชื่อมต่อเฉพาะมีดังนี้:

1. Alphapo Exploiter (TDrs...WVjr) ที่เป็นที่รู้จักได้แลกเปลี่ยน TRX สำหรับ ETH ผ่าน TransitSwap และเชื่อมโยงข้ามไปยังที่อยู่ (0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d) ดังนั้นที่อยู่จึงถูกทำเครื่องหมายเป็น Alphapo Exploiter บน ETH chain

2. ที่อยู่ของแฮ็กเกอร์ 0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d ถูกทำเครื่องหมายเป็น Alphapo Exploiter บน ETH chain และเป็น Stake.com Exploiter บน BSC chain ซึ่งหมายความว่าที่อยู่นั้นเป็นที่อยู่ที่ใช้ร่วมกัน

3. 0x75497999432B8701330fB68058bd21918C02Ac59 ถูกทำเครื่องหมายเป็น CoinEx Exploiter บน ARB และ OP chains และเป็น Stake.com Exploiter บน Polygon chain ซึ่งหมายความว่าที่อยู่นี้เป็นที่อยู่ที่ใช้ร่วมกัน เนื่องจาก Stake.com Exploiter ได้รับการเชื่อมโยงโดย FBI กับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group, Alphapo Exploiter, Stake.com Exploiter และ CoinEx Exploiter ทั้งหมดจึงอาจเป็นสมาชิกของกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group