O grupo hacker Lazarus, ligado ao governo da Coreia do Norte, transferiu US$ 63,4 milhões em Ethereum provenientes do gigantesco hack no ano passado ao Harmony Bridge, sistema que atua como ponte para migrar ativos entre blockchains, depositando-os nas Exchange de criptomoedas Binance, Huobi e OKX.
De acordo com ZachXBT, “ZachXBT”, conhecido investigador de crimes cometidos através de criptomoedas,o grupo usou o sistema de privacidade e anonimato Railgun antes de consolidar os fundos e depositá-los nas bolsas.
Railgun é um sistema de contrato inteligente baseado em Ethereum que permite aos usuários obscurecer a natureza de suas transações criptográficas, removendo informações de identificação.
O investigador disse que as transferências, feitas na sexta-feira passada, 13, envolveram 350 mil endereços de carteira separados. “O Lazarus teve um fim de semana muito lucrativo movimentando US$ 63,5 milhões [equivalente a 41 mil Ethereum) do hack feito ao Harmony através do Railgun antes de consolidar fundos e depositar em três exchanges diferentes”, disse ZachXBT.
O CEO da Binance, Changpeng “CZ” Zhao, disse que sua equipe, em colaboração com a Huobi, detectou movimentações de fundos, que a exchange congelou e recuperou. Ele afirmou que a recuperação total chegou a 124 Bitcoins, sugerindo que os invasores haviam convertido fundos de Ethereum para Bitcoin.
Embora o Lazarus originalmente tenha feito as transferências ilegais na forma de Ethereum, esses tokens poderiam ter sido trocados posteriormente por Bitcoin em muitos pontos durante o processo de mistura e consolidação. “Detectamos movimentação de fundos do Harmony One. Eles já tentaram lavar através da Binance e nós congelamos suas contas. Desta vez, o grupo usou o Huobi. Ajudamos a equipe do Huobi a congelar as contas. Juntos, 124 Bitcoins foram recuperados”, afirmou CZ Zhao.
Em junho do ano passado, o ataque ao Harmony possibilitou que os hackers levassem US$ 100 milhões após comprometer a ponte de blockchain do projeto.
Muitos, incluindo a empresa de análise de blockchain Elliptic, atribuíram o ataque ao grupo de hackers Lazarus, patrocinado pelo governo norte-coreano. Diz-se que o grupo usa o misturador de criptomoedas Tornado Cash, uma ferramenta não muito diferente do Railgun. Não se sabe se alguma medida foi tomada pela OKX, em resposta às supostas transferências criminosas.
Veja isso
Lazarus explora bug no driver da Dell usando o rootkit FudModule
Grupo Lazarus hackeou empresas de energia em todo o mundo
CZ Zhao explicou que as equipes de segurança da Binance são até certo ponto colaborativas e conversam com outras exchanges, mas acrescentou que “nem todas” as outras exchanges são colaborativas. “Nossas equipes de segurança conversam entre si, mas nem todas as trocas são colaborativas [algumas têm uma mentalidade competitiva errada], mas muitas são. Não sei os detalhes.”
O CEO acrescentou que ele próprio não está nesses bate-papos de segurança e, como resultado, não “conhece os detalhes”.Apesar do tamanho do ataque do Lazarus ao Harmony, o hack é apenas uma pequena parte do número total de fundos que o sindicato do crime cibernético está envolvido no roubo.
O Lazarus também foi implicado, para dar apenas um exemplo, no ataque de março do ano passado à Rede Ronin, que foi estimado em cerca de US$ 622 milhões. O grupo também estava vinculado a um esquema que se fazia passar por empresas de capital de risco para espalhar malware para várias empresas relacionadas a criptomoedas.