1 pontos por GN⁺ 2024-09-16 | 1 comentários | Compartilhar no WhatsApp
  • O Lazarus Group, conhecido por sua ligação com o governo da Coreia do Norte, foi vinculado ao fluxo de cerca de US$ 200 milhões ($200m) provenientes de mais de 25 hacks contra empresas e indivíduos do setor de criptomoedas entre agosto de 2020 e outubro de 2023
  • Os fundos roubados foram reunidos em carteiras intermediárias e, em seguida, passaram repetidamente por Tornado Cash, ChipMixer, Ren Protocol, bridges, traders OTC, corretoras centralizadas e marketplaces P2P como Paxful e Noones
  • Em vários casos, endereços de saque e endereços de retirada de mixers voltaram a se conectar, ou o mesmo endereço de depósito da Paxful e da Noones foi reutilizado, revelando indícios de que fundos de diferentes hacks foram combinados em uma única rota de lavagem
  • Entre julho de 2022 e novembro de 2023, os fundos relacionados que foram movidos para endereços de depósito da Paxful e da Noones somaram US$ 44 milhões, e a análise OSINT indica que duas contas com volume compatível provavelmente foram usadas para conversão em moeda fiduciária
  • Apesar da inclusão de 374.000 USDT da Tether em blacklist, de congelamentos por corretoras centralizadas e de listas negras adicionais por emissores de stablecoins, parte dos fundos aparentemente foi convertida em transferências bancárias ou dinheiro em espécie por meio de marketplaces P2P

Lazarus Group e escopo da investigação

  • O Lazarus Group, também chamado de Bluenoroff ou APT38, é um grupo de ameaças conhecido por sua ligação com o governo da Coreia do Norte desde 2009 e vem realizando ataques com motivação financeira usando malware sob medida
  • No passado, ficou conhecido pelo hack da Sony Pictures em 2014 e pelo roubo de US$ 81 milhões do Bangladesh Bank em 2016, e mais recentemente mudou o foco de seus ataques para a indústria de criptomoedas
  • TRM e Chainalysis estimam o volume de roubos de criptomoedas ligados à Coreia do Norte desde 2017 em US$ 3 bilhões a US$ 4,1 bilhões
  • Este rastreamento acompanha a movimentação dos fundos de 25 hacks contra empresas e indivíduos do setor de criptomoedas entre agosto de 2020 e outubro de 2023, confirmando o fluxo em que criptomoedas roubadas são trocadas por moeda fiduciária em contas de marketplaces P2P

2020: CoinBerry, Unibright, CoinMetro

  • A CoinBerry interrompeu saques por mais de 12 horas após US$ 370 mil serem retirados de suas hot wallets de Bitcoin e Ethereum em 24 de agosto de 2020
    • A corretora não divulgou publicamente o incidente, mas um processo de 2022 revelou que, em 2020, um bug de software permitiu que 500 pessoas retirassem 120 BTC
  • A Unibright confirmou em 11 de setembro de 2020 transferências não autorizadas de US$ 400 mil de várias carteiras administradas pela equipe, causadas pelo comprometimento de chaves privadas
    • O invasor trocou imediatamente os ativos roubados por ETH em uma corretora descentralizada
  • A CoinMetro sofreu, em 6 de outubro de 2020, um incidente de segurança no qual criptomoedas no valor de US$ 750 mil foram transferidas sem autorização de sua hot wallet
    • A equipe da Parsiq decidiu realizar um hard fork do token para impedir que o invasor vendesse mais tokens PRQ e para proteger os fundos dos usuários
  • Os fundos desses incidentes e de vítimas individuais foram reunidos, via carteiras intermediárias, no endereço 0x0864 no início de janeiro de 2021
    • Em 11 de janeiro de 2021, o endereço 0x0864 depositou 3.000 ETH no Tornado Cash
    • Depois disso, 1.814,49 ETH foram movidos a partir do endereço 0x1031, e 17 envios de 100 ETH cada, além de mais 112,1 ETH, foram depositados no Tornado Cash
    • Entre 11 e 14 de janeiro de 2021, houve 45 retiradas de 100 ETH cada para um único endereço, e o destino dessas retiradas voltou a se conectar aos endereços originalmente roubados, reforçando a precisão do demixing
  • Os fundos lavados passaram por endereços intermediários, foram combinados com outros recursos roubados pelo Lazarus Group e, a partir de julho de 2022, começaram a receber depósitos em USDT na Paxful
    • A partir de abril de 2023, outro marketplace P2P, a Noones, também passou a ser usado
    • Os USDT foram enviados lentamente em lotes até novembro de 2023
  • Em 2021, o endereço 0x9973 realizou várias transferências para o trader OTC chinês Wu Huihui
    • Em abril de 2023, a acusação formal contra Wu foi tornada pública, e ele foi adicionado à lista SDN da OFAC sob acusação de ter apoiado pagamentos ligados à Coreia do Norte

Dezembro de 2020: hack de Hugh Karp, fundador da Nexus Mutual

  • Em 14 de dezembro de 2020, o fundador da Nexus Mutual, Hugh Karp, foi induzido a aprovar uma transação maliciosa após um invasor obter acesso remoto ao seu computador e manipular a extensão MetaMask
    • Como resultado, 370.000 NXM, equivalentes a US$ 8,3 milhões na época, foram roubados
  • Em 16 e 17 de dezembro de 2020, o invasor depositou 137,1 BTC no serviço centralizado de mixagem ChipMixer em seis transações
    • Horas depois, 136 BTC foram retirados do ChipMixer, bridgados de volta para Ethereum via Ren Project e então combinados com outros fundos roubados
  • No lado do Ethereum, entre 16 e 19 de dezembro de 2020, o endereço do roubo depositou 2.571 ETH no Tornado Cash
    • Logo após os depósitos, o endereço de destino da Ren começou a receber retiradas do Tornado Cash
    • Embora não haja correspondência 1:1, em 25 de dezembro de 2020 o Lazarus Group conectou endereços pós-mixagem ao endereço original do roubo, reduzindo o efeito do conjunto de anonimato
  • Em março de 2021, wNXM adicionais foram vendidos por renBTC, bridgados para Bitcoin via Ren Protocol e então depositados no ChipMixer
    • Em 10 de março, 29,98 renBTC foram movidos para Bitcoin e depositados no ChipMixer, e cerca de cinco horas depois 29,92 BTC, excluindo taxas, foram retirados e bridgados de volta para Ethereum
    • Esses fundos foram combinados no endereço 0x0864b com os recursos do caso CoinMetro e de hacks pessoais não reportados
    • Em 20 e 31 de março, a sequência de bridge de renBTC, depósito e retirada no ChipMixer e rebridge para Ethereum se repetiu
  • Parte dos fundos lavados foi bridgada em abril de 2021 para Bitcoin via Ren na forma de 19,96 BTC e enviada ao trader OTC Wu Huihui, sancionado pela OFAC
    • De 24 de maio a 10 de julho de 2021, US$ 11 milhões foram movidos do endereço 0xb27 para um endereço de depósito da Bixin
    • Em fevereiro de 2023, os fundos remanescentes foram combinados com outros recursos roubados e depois depositados na Paxful e na Noones

Abril de 2021: hack do fundador da EasyFi, Ankitt Gaur

  • Em 19 de abril de 2021, a equipe da EasyFi confirmou uma grande transferência não autorizada de tokens EASY da carteira da equipe gerida pelo fundador Ankitt Gaur
    • Uma versão maliciosa do MetaMask foi injetada no dispositivo dele, permitindo que o invasor tomasse posse da chave privada, e um total de US$ 81 milhões foi roubado
  • Uma análise adicional confirmou que, alguns dias antes, o e-mail pessoal de Ankitt Gaur havia recebido um e-mail de phishing baseado em SendGrid que parecia ter sido enviado por Dan, fundador da Pantera Capital
    • Esse tipo de ataque é semelhante ao caso da Nexus Mutual com Hugh Karp em dezembro de 2020
  • Durante o roubo, US$ 6 milhões em liquidez de USD·DAI·USDT do pool do protocolo foram removidos, e 2.98M EASY foram movidos para o endereço 0x4371
    • Endereços ligados aos hacks da Nexus Mutual, CoinMetro, Unibright, CoinBerry e vários indivíduos enviaram ETH ao endereço 0x3149 entre março e abril de 2021, criando uma conexão on-chain
  • Em 20 e 21 de abril de 2021, um total de 209.64 BTC foi bridgeado de Ethereum para Bitcoin a partir do endereço do roubo e depois depositado no ChipMixer
    • No mesmo período, 209.5 BTC, já refletindo as taxas, foram sacados do ChipMixer, e não houve outros saques com características semelhantes
    • Em 22 de abril de 2021, 209.22 BTC foram reunidos em dois endereços e depois bridgeados de volta para Ethereum via Ren Protocol
  • Em junho de 2022, US$ 4,9 milhões provenientes de vários hacks foram movidos para dois endereços de depósito da Binance
    • Depois disso, os fundos que estavam em 0xe0c7 e 0x313d foram convertidos em DAI·wBTC e, passando por endereços intermediários, combinados com outros fundos roubados do Lazarus Group
    • Depósitos em USDT foram feitos no Paxful a partir de julho de 2022 e no Noones a partir de abril de 2023, com envios em lote continuando até novembro de 2023

Julho de 2021: hack da Bondly

  • Em 14 de julho de 2021, o CEO da Bondly Finance, Brandon Smith, sofreu um ataque no qual o invasor acessou uma conta de senha que continha a frase de recuperação de uma hardware wallet
    • O invasor transferiu para si a propriedade do contrato do token Bondly e levou US$ 8,5 milhões em ativos pertencentes à equipe
  • Em 15 e 16 de julho de 2021, o invasor depositou na Tornado Cash, na BSC, 48 vezes × 100 BNB
    • Na Ethereum, depositou na Tornado Cash 5 vezes × 100 ETH e 52 vezes × 100,000 DAI
    • Em 11 de agosto de 2021, mais 202 ETH também entraram na Tornado Cash
  • No lado da BSC, entre 17 e 19 de julho de 2021, 47 vezes × 100 BNB foram sacados para o endereço 0x4197
    • Um dos depósitos foi sacado para o depositante original, 0xc433, de modo que, no geral, depósitos e saques ficaram próximos de uma relação 1:1
    • Depois, os fundos foram movidos para Ethereum via Multichain bridge e combinados com os fundos sacados na Ethereum
  • No lado da Ethereum, entre 16 e 20 de julho de 2021, 35 vezes × 100,000 DAI e 3 vezes × 100 ETH foram sacados para o endereço 0x365
    • Entre 22 e 29 de julho de 2021, 14 vezes × 100,000 DAI e 2 vezes × 100 ETH foram sacados para 0xe0c7 e combinados com os fundos do hack da EasyFi
    • Entre 12 e 23 de agosto de 2021, mais 2 vezes × 100 ETH também foram movidos para 0xe0c7
  • O pool de 100,000 DAI da Tornado Cash tinha pouca atividade, e os 52 depósitos do invasor da Bondly aumentaram o pool em 15%, reduzindo bastante o efeito do conjunto de anonimato
    • Em junho de 2022, US$ 4,9 milhões lavados a partir de casos como Nexus Mutual, EasyFi e Bondly foram movidos para dois endereços de depósito da Binance
    • Depois disso, os fundos foram depositados em contas do Paxful e do Noones na forma de USDT

Agosto-setembro de 2021: hacks pessoais não reportados

  • Em agosto e setembro de 2021, várias pessoas sofreram hacks que somaram US$ 2 milhões, com a causa presumida sendo o roubo de chaves privadas
  • Entre os fundamentos dessa avaliação estão as conexões on-chain com hacks conhecidos como o da FinNexus, o fluxo em que os ativos eram vendidos por ETH logo após saírem das carteiras das vítimas e a interrupção da atividade dessas carteiras após as transferências
  • Vários fundos roubados foram reunidos no endereço 0x5271, e em 15 de setembro de 2021 581 ETH foram depositados na Tornado Cash
  • Em 20 de setembro de 2021, 591 ETH foram sacados da Tornado Cash para um único endereço
    • Os US$ 2 milhões que saíram do mixer passaram por endereços intermediários, foram combinados com outros fundos roubados do Lazarus Group e depois depositados em exchanges
    • O endereço de depósito no Paxful 0x246 conecta saques e depósitos da Tornado Cash, reforçando a precisão do demix

Outubro de 2021: MGNR e PolyPlay

  • A MGNR teve ativos no valor de US$ 24 milhões retirados de sua carteira em 8 de outubro de 2021 devido ao roubo de chave privada
    • Em uma publicação apagada no X, a equipe afirmou ter recebido um e-mail de phishing da Pantera Capital via SendGrid, semelhante ao caso de Ankitt Gaur, da EasyFi
    • A equipe também disse que a chave privada da hot wallet havia sido compartilhada temporariamente entre vários membros da equipe
  • O invasor da MGNR fez bridge e swap dos ativos roubados em cadeias EVM, depois os reuniu no endereço 0x577 e depositou 4,900 ETH na Tornado Cash entre 8 e 12 de outubro de 2021
    • Outros endereços ligados ao invasor também depositaram 210 ETH na Tornado Cash no mesmo período
    • Endereços que haviam recebido fundos da EasyFi e da Bondly receberam respectivamente 700 ETH e 4,500 ETH da Tornado Cash
  • Em 14 de janeiro de 2022, um endereço ligado ao roubo da MGNR depositou na Tornado Cash 6 vezes × 100 ETH e 5 vezes × 10 ETH
    • Cerca de 24 horas depois, 4 vezes × 100 ETH e 5 vezes × 10 ETH foram sacados para 0x964 e depois movidos para 0x1398, reforçando o demix pelo fato de múltiplas denominações terem sido sacadas ao longo de um período definido
  • A PolyPlay teve US$ 1,6 milhão em transferências não autorizadas de várias carteiras geridas pela equipe em 28 de outubro de 2021
    • Uma publicação apagada no X compartilhava o endereço da carteira do invasor e um e-mail de phishing sobre listagem na Binance
  • Entre os fundos do caso PolyPlay, 350 ETH foram depositados na Tornado Cash em 8 de novembro de 2021, e 90 minutos depois 320 ETH foram sacados para um endereço ligado a outros hacks do Lazarus Group
    • Depois, os fundos foram depositados em contas do Paxful e do Noones

Novembro de 2021: hack da bZx

  • Em 3 de novembro de 2021, o protocolo de empréstimos bZx teve US$ 55 milhões roubados de suas implantações na BSC e na Polygon
    • Um desenvolvedor da bZx executou um script em seu computador pessoal e depois foi vítima de phishing, dando ao invasor acesso à chave privada
  • Após analisar o caso com a Kaspersky, a equipe da bZx considerou altamente provável o envolvimento do Lazarus Group
    • A base para isso foi a semelhança entre as ferramentas analisadas em ataques anteriores do Lazarus Group e o e-mail de phishing recebido
  • O invasor da Bondly está diretamente ligado ao hack da bZx
    • O endereço de roubo da Bondly 0xc43 forneceu fundos, na Polygon, para um dos endereços usados pelo invasor da bZx
    • Na Ethereum, fundos da Bondly também foram movidos para um endereço intermediário que recebeu fundos de endereços ligados ao hack da bZx
    • Em ambos os casos, o invasor acessou senhas e depois manipulou smart contracts do protocolo, o que mostra semelhança entre os incidentes
  • On-chain, o caso da bZx também está ligado a mgnr.io, PolyPlay, Wonderhero e ao hack do fundador da ANKR
    • Pequenos saldos remanescentes de vários endereços de roubo foram varridos para um único endereço em fevereiro de 2022
  • Os fundos do hack da bZx foram lavados via Tornado Cash
    • Entre 15 e 18 de novembro de 2021, 8,600 ETH foram depositados na Tornado Cash
    • Em 13 de dezembro de 2021, mais 2,360 ETH foram depositados
    • Estima-se que 4,100 ETH entre 3 e 10 de dezembro de 2021, 940 ETH em 18 de dezembro e 1,000 ETH em 23 de dezembro tenham sido sacados para endereços relacionados
    • Todos os saques da Tornado Cash acima de 400 ETH entre 15 de novembro e 31 de dezembro de 2021 foram analisados, e não houve outros saques com as mesmas características
  • No hack da bZx, apenas 6,400 ETH foram parcialmente demixados, mas os endereços de depósito no Paxful 0x2465 e 0x593d conectam os casos CoinBerry, CoinMetro, Nexus Mutual, FinNexus, PolyPlay e bZx

Agosto de 2023: Steadefi e CoinShift

  • A Steadefi informou que, em 7 de agosto de 2023, a carteira do deployer foi comprometida, e o invasor transferiu a propriedade de todos os lending·strategy vaults para um endereço sob seu controle, retirando US$ 1,2 milhão em ativos de usuários
  • Segundo um relatório sobre a DPRK divulgado pela ONU em março de 2024, um membro da equipe da Steadefi entrou em contato no Telegram com uma pessoa que se passava por alguém que trabalhava em um fundo chamado “Spirit Blockchain Group”
    • O atacante enviou um arquivo malicioso disfarçado de material de apresentação de um fundo de investimento, e um integrante da equipe da Steadefi fez o download
  • O caso da CoinShift não teve anúncio público, mas em 16 de agosto de 2023 houve um fluxo em que ativos ligados a uma carteira multisig conectada ao fundador foram movidos repentinamente e vendidos imediatamente, indicando possível comprometimento de chave privada
  • No processo de lavagem em agosto de 2023, 624,3 ETH dos fundos hackeados da Steadefi foram depositados no Tornado Cash por meio do endereço 0xe10d
    • 900 ETH dos fundos hackeados da CoinShift também foram depositados no Tornado Cash por meio do endereço 0x68c4
    • Em 23 de agosto de 2023, os registros de depósito dos dois atacantes no pool de 100 ETH do Tornado Cash coincidem, com intervalo de poucos minutos
  • Nos dois casos, 15 depósitos de 100 ETH foram sacados para três endereços com valores correspondentes em menos de 24 horas e consolidados em um único endereço em 12 de outubro de 2023
    • Depois disso, os fundos foram convertidos em USDT e, passando por endereços intermediários, foram depositados na Paxful e na Noones em novembro de 2023
    • O endereço de depósito da Paxful 0x2465 também foi reutilizado em outros hacks atribuídos ao Lazarus Group, como EasyFi, Bondly e Nexus Mutual

US$ 44 milhões movidos para Paxful·Noones

  • De julho de 2022 a novembro de 2023, US$ 44 milhões em fundos de hacks do Lazarus Group foram movidos para endereços de depósito da Paxful e da Noones
  • Volume por endereços de depósito da Paxful identificados:
    • 0x246569f8b420c8d850c475c53d0d59973b3f08fc: US$ 12,8 milhões depositados de julho de 2022 a novembro de 2023
    • 0x593dc5e1ad81667bbfc90739dd2c09c926920e3b: US$ 12,1 milhões depositados de janeiro de 2023 a novembro de 2023
  • Endereço de depósito da Noones identificado:
    • 0x2e1155cf5374cba058a04fd03ebd0ba19afe580d: US$ 14,3 milhões depositados de abril de 2023 a novembro de 2023
  • A partir de 25 de novembro de 2023, o Lazarus Group começou a usar novos endereços de depósito da Paxful·Noones

Indícios de conversão em moeda fiduciária em marketplace P2P

  • A análise OSINT identificou dois usuários ativos na Paxful e na Noones: EasyGoatfish351 e FairJunco470
    • O volume de transações das duas contas corresponde ao volume dos depósitos dos fundos hackeados
    • Os períodos de atividade das contas também coincidem com os momentos dos depósitos, o que indica alta probabilidade de que essas contas tenham sido usadas
  • Também foi analisado o vazamento de hot wallets da Paxful e da Noones, mas não foram observadas retiradas de criptomoedas em volumes semelhantes
    • É possível que o USDT depositado tenha sido trocado dentro das plataformas por transferência bancária ou dinheiro em espécie
  • O Lazarus Group já tem histórico de usar traders OTC chineses para converter criptomoedas em moeda fiduciária

Congelamentos·blacklist e casos adicionais conectados

  • Até o momento da investigação, a Tether colocou 374.000 USDT em blacklist em novembro de 2023
  • No 4º trimestre de 2023, um valor não divulgado foi congelado em uma exchange centralizada
  • Três das quatro emissoras de stablecoins colocaram em blacklist mais US$ 3,4 milhões que permaneciam no grupo de endereços relacionados
  • Casos adicionais conectados:
    • Hack de usuário da Exchange em janeiro de 2021
    • Hack da Arthur0x em março de 2022
    • Hacks da Geracoin·Darshan entre setembro e outubro de 2022
    • Hack do fundador da Maverick em outubro de 2023

1 comentários

 
GN⁺ 2024-09-16
Opiniões no Hacker News
  • Sinceramente, fiquei curioso: quão difícil seria se os EUA decidissem unilateralmente desconectar a Coreia do Norte da internet? Seria só cortar alguns cabos?
    A Coreia do Norte basicamente usa a internet apenas para fraudes ou para gerar receita violando sanções, não deixa seus cidadãos usarem para outros fins e também impede que saiam do país, porque, se fossem para o exterior, não voltariam.
    Mesmo que fosse temporário, se a internet do país inteiro caísse de repente, trabalhadores remotos contratados sem que se soubesse que eram norte-coreanos desapareceriam todos de uma vez, o que provavelmente revelaria suas identidades. Fico me perguntando se isso é logisticamente impossível ou se não é feito porque seria difícil para os aliados aceitarem.

    • Só americanos conseguiriam pensar em algo assim sem tom de piada. Os EUA não são donos da internet.
    • A maior parte do tráfego da Coreia do Norte é roteada pela China, então, na prática, seria preciso desconectar a China da internet. Como há inúmeros cabos submarinos ligando a China a outros países, isso parece pouco realista.
    • Você acha que eles fazem esse tipo de coisa diretamente a partir dos blocos de IP ou ASNs da Coreia do Norte? As conexões físicas, em geral, ficam do lado que, para os EUA, é “o inimigo do inimigo”, então não há incentivo para bloqueá-las, e impedir completamente o acesso à internet é impossível.
    • Para começar, já se sabe que muitos agentes cibernéticos norte-coreanos trabalham no exterior, então a pergunta em si fica fraca. Na prática, eles moram em países como a China, montam infraestrutura separada e acessam tudo remotamente.
    • Bem típico do país da democracia. Só nós temos direitos; os outros, não.
  • A análise é impressionante, mas será que eu perdi a parte de lavagem de dinheiro? Lavagem de dinheiro é criar uma explicação de que o dinheiro é limpo, não esconder os motivos pelos quais ele pode ser sujo.

    • A maior parte do mundo das criptomoedas parte do pressuposto de que tudo é limpo por padrão e lida com isso por meio de listas negras, então muitas vezes nem é necessário lavar completamente.
  • EUA/Canadá, 2024, multa de US$ 3 bilhões de reguladores americanos, https://rupakghose.substack.com/p/td-banks-aml-issues-and-fi...
    Segundo uma investigação do DoJ, entre 2016 e 2021, mais de US$ 650 milhões em receitas da venda de fentanil nos EUA foram lavados por meio de serviços bancários para organizações criminosas chinesas e traficantes.
    Canadá, 2018, https://news.ycombinator.com/item?id=33918115
    Dois relatórios especiais do governo provincial afirmaram que uma estimativa de US$ 5,3 bilhões em dinheiro lavado que entrou no mercado imobiliário da Colúmbia Britânica em 2018 elevou os preços das casas em 5%.
    Austrália, 2015, https://www.macrobusiness.com.au/2015/06/stop-money-launderi...
    O Credit Suisse estima que cerca de US$ 28 bilhões em dinheiro chinês foram investidos no mercado imobiliário australiano nos últimos seis anos.

    • Há alguma base para considerar que o investimento na Austrália esteja relacionado a lavagem de dinheiro ou venda de drogas?
    • A investigação do DoJ disse que serviços bancários foram usados para lavar mais de US$ 650 milhões em receitas da venda de fentanil nos EUA entre 2016 e 2021 para organizações criminosas chinesas e traficantes, mas, segundo um material parecido com o World Factbook oficial da CIA, estima-se que 3% a 5% do PIB mundial esteja ligado a atividades criminosas.
      O blockchain é bom por permitir rastrear o processo de lavagem. Dá até para fazer posts de blog com gráficos bonitos, e gosto desse aspecto. Já os bancos tradicionais são todos opacos.
      Mas o dinheiro lavado com criptomoedas é uma gota no oceano em comparação com a escala das atividades criminosas no mundo. Atividades criminosas existem há centenas, milhares de anos antes do blockchain.
      Além disso, nem quero começar a falar dos bilhões de dólares que desaparecem quando dinheiro é enviado sob o pretexto de “ajuda”, seja para a Ucrânia, o Haiti ou qualquer outro lugar. Há funcionários e indivíduos corruptos em cada etapa.
      Meu exemplo favorito é que os EUA enviaram US$ 12 bilhões em notas de 100 dólares em um 747 para “ajudar na reconstrução do Iraque”, e US$ 9 bilhões disso foram oficialmente “perdidos”. Sim, perdidos. Está nos registros oficiais.
      Então os US$ 200 milhões do grupo Lazarus não são motivo para chorar quando comparados a US$ 9 bilhões em notas de 100 dólares.
    • O problema da “lavagem de dinheiro” é que a teoria e a forma como ela funciona na prática são exatamente opostas.
      Em teoria, a ideia é criminalizar o ato de ocultar a origem de receitas criminosas, permitindo acusar alguém de lavagem de dinheiro mesmo quando não se consegue provar o crime original. Isso, por si só, já é bastante suspeito. Parece mais uma tentativa do governo de contornar o ônus da prova em relação ao crime original.
      Só que isso também não funciona bem. Criminosos criam empresas legítimas de fachada e dizem que o dinheiro veio delas. Então, para provar o contrário, acaba sendo necessário demonstrar o crime original de qualquer forma.
      Na prática, acusações de lavagem de dinheiro quase sempre aparecem em dois casos. Um é quando o crime original já foi provado e a acusação de lavagem é adicionada desnecessariamente; o outro é quando pessoas inocentes, que não são criminosos profissionais e não conhecem bem a lei, acabam tecnicamente enquadradas em lavagem de dinheiro por erros banais, ou quando ações inofensivas e comuns violam regras, ou quando são acusadas ou expulsas do sistema bancário por falsos positivos ruins de IA.
      Já grandes organizações criminosas sabem fazer transações parecerem normais, e o governo dá bronca nos bancos por não terem detectado. Mas, do ponto de vista dos bancos, como as organizações criminosas disfarçaram as transações como normais, quase não há como identificá-las de fato.
      Essa lei é uma lei idiota que causa mais dano do que benefício. Seria melhor eliminá-la e acusar criminosos pelos crimes reais.
    • A Austrália em breve vai “resolver” isso. O Communications Legislation Amendment (Combatting Misinformation and Disinformation) Bill de 2024 vai transformar atos que prejudiquem a confiança pública no sistema bancário ou nos mercados financeiros em “dano grave”.
      Aqui, “resolver” obviamente significa “impedir que se fale sobre isso”.
    • No Canadá, isso é mais um motivo para permitir que apenas cidadãos canadenses possuam imóveis.
  • Se, no fim, todas as criptomoedas foram para Paxful/Noones e lá foram convertidas em moeda fiduciária, não deveria ser bem simples obter, por intimação, todos os dados das contas em moeda fiduciária dessas empresas?

  • Muitos desses serviços já não existem mais ou reforçaram a segurança. Por exemplo, o ChipMixer desapareceu, houve sanções contra o Tornado Cash, reforço de KYC e análises on-chain melhores.

    • KYC, para quem não conhece a sigla, significa Know Your Customer, ou seja, processo de identificação do cliente.
  • Pergunto por curiosidade: como uma instância do MetaMask em um dispositivo específico é transformada em uma versão maliciosa modificada? Como isso funciona, afinal?

  • Ainda bem que existe criptomoeda. Caso contrário, jamais saberíamos desse tipo de coisa.

    • Verdade. Senão, estaríamos segurando míseros títulos públicos sem a menor preocupação.
  • Espero que ZachXBT seja bem remunerado pelo esforço que dedica a capturar golpistas. Não sei bem como ele ganha dinheiro com isso.

    • Pelo que sei, ele recebeu uma quantia bastante confortável por meio de vários subsídios e doações individuais.