Grupo Lazarus lavou US$ 200 milhões em moeda fiduciária após 25 hacks de criptomoedas

• O grupo de hackers Lazarus Group, ligado ao governo da Coreia do Norte, hackeou 25 empresas e indivíduos relacionados a criptoativos entre agosto de 2020 e outubro de 2023, roubando um total de US$ 200 milhões
• Eles são um grupo de hackers conhecido por usar malware personalizado para cada alvo
• Estima-se que, de 2017 até hoje, tenham roubado ao todo entre US$ 3 bilhões e US$ 4,1 bilhões por meio de hacks de criptoativos
• Este artigo rastreia suas rotas de lavagem de dinheiro e analisa como os fundos roubados foram convertidos em dinheiro por meio das exchanges P2P Paxful e Noones

Principais incidentes de 2020

Hack da CoinBerry (agosto)

• A exchange canadense CoinBerry teve 120 BTC roubados devido a um bug de software (valor na época: US$ 3,7 milhões).

Hack da Unibright (setembro)

• Cerca de US$ 400 mil em ativos foram transferidos sem autorização da carteira da equipe da Unibright após o vazamento de uma chave privada.

Hack da CoinMetro (outubro)

• Um total de US$ 750 mil em criptoativos foi roubado da hot wallet da CoinMetro após uma violação de segurança.
• A equipe da Parsiq fez um hard fork do token PRQ para evitar danos adicionais.

Hack do fundador da Nexus Mutual, Hugh Karp, em 2020 (dezembro)

• Após ser enganado para aprovar uma transação maliciosa, 370.000 NXM (US$ 8,3 milhões) foram roubados.
• Depois de depositar 137,1 BTC no mixer de Bitcoin ChipMixer, os fundos retornaram ao Ethereum.
• Também foram depositados 2.571 ETH no Tornado Cash a partir do Ethereum, com saque imediato em seguida.

Hack do fundador da EasyFi, Ankitt Gaur, em 2021 (abril)

• Ankitt instalou uma extensão maliciosa do Metamask após um e-mail de phishing, o que expôs sua chave privada e resultou no roubo de US$ 81 milhões.
• 209,64 BTC foram depositados no ChipMixer, retirados e então reenviados ao Ethereum via protocolo Ren.
• Os fundos foram depositados na Binance em junho de 2022.

Hack da Bondly Finance em 2021 (julho)

• Após o vazamento da frase de recuperação da hardware wallet do CEO Brandon Smith, US$ 8,5 milhões em ativos da equipe foram roubados.
• Em Ethereum, BSC e Polygon, foram lavados 52 milhões de DAI, 500 ETH e 4.800 BNB usando o Tornado Cash.

Hacks pessoais não reportados entre agosto e setembro de 2021

• Entre agosto e setembro, várias pessoas tiveram um total de US$ 2 milhões roubados após vazamento de chaves privadas.
• 581 ETH foram depositados no Tornado Cash e sacados alguns dias depois.

Hacks da MGNR e PolyPlay em 2021 (outubro)

Hack da MGNR

• Enquanto membros da equipe compartilharam temporariamente a chave da hot wallet em um PC pessoal, cerca de US$ 24 milhões foram roubados.
• 5.100 ETH foram depositados no Tornado Cash, depois retirados gradualmente e misturados com fundos de outros hacks.
• Os valores foram convertidos em dinheiro por meio da Paxful e da Noones.

Hack da PolyPlay

• Cerca de US$ 1,6 milhão foram transferidos sem autorização da carteira da equipe.
• 350 ETH foram depositados no Tornado Cash, sacados e enviados para a Paxful e a Noones.

Hack da bZx em novembro de 2021

• Um desenvolvedor executou um anexo de e-mail com script malicioso, o que expôs a chave privada e permitiu o roubo de US$ 55 milhões do protocolo implantado em BSC e Polygon.
• 10.960 ETH foram depositados no Tornado Cash, depois retirados e misturados com fundos de hacks anteriores.

Hacks da Steadefi e Coinshift em agosto de 2023

Hack da Steadefi

• Um desenvolvedor abriu um arquivo de apresentação malicioso enviado por uma conta de Telegram que se passava por uma empresa de investimentos falsa; a carteira do deployer foi comprometida e a propriedade dos cofres de empréstimo e estratégia passou para o hacker. Foram roubados cerca de US$ 1,2 milhão.
• 624,3 ETH foram depositados no Tornado Cash.

Hack da Coinshift

• Foi observada uma transferência repentina de fundos em uma carteira multisig ligada ao fundador, levando à suspeita de vazamento de chave privada.
• 900 ETH foram depositados no Tornado Cash.

Conversão dos fundos roubados em dinheiro por meio das exchanges P2P Paxful e Noones

• De julho de 2022 a novembro de 2023, um total de US$ 44 milhões em USDT entrou em endereços de depósito da Paxful e da Noones.
• Duas contas na Paxful e na Noones mostraram volume de transações compatível com a escala dos valores roubados.
• Como não foram observados saques equivalentes em criptomoedas a partir dessas exchanges, estima-se que o USDT tenha sido trocado por transferência bancária ou dinheiro em espécie.

Resultados da investigação

• Até novembro de 2023, 374.000 USDT haviam sido colocados em blacklist pela Tether, e um valor não divulgado foi congelado em exchanges no 4º trimestre de 2023.
• Três de quatro emissores de stablecoins colocaram em blacklist fundos no valor de US$ 3,4 milhões.

Outros incidentes relacionados

• Hack de usuários de exchange em janeiro de 2021
• Hack da Arthur0x em março de 2022
• Hacks da Geracoin e Darshan entre setembro e outubro de 2022
• Hack do fundador da Maverick em outubro de 2023

Opinião do GN⁺

• O grupo parece ter grande capacidade organizacional e técnica, já que realiza ataques seletivos contra diversos protocolos e indivíduos e depois conduz um processo sofisticado de lavagem de dinheiro.
• Com o aumento dos casos de abuso no ecossistema de criptoativos, é necessário redobrar a atenção ao gerenciamento de chaves privadas e a ataques de phishing.
• Este caso mostra que finanças descentralizadas e mixers de criptomoedas podem ser explorados para lavagem de dinheiro. A necessidade de regulamentação e contramedidas parece urgente.
• Como o governo da Coreia do Norte pode continuar usando hacks de criptoativos como forma de obter recursos, é necessária cooperação entre o setor e as autoridades.
• Projetos de criptomoedas e indivíduos devem reforçar a gestão de carteiras com medidas como múltiplas assinaturas e uso de cold wallets, além de tomar cuidado com e-mails e anexos suspeitos.