Lazarus Group lanza la moneda meme 'QinShihuang' para blanquear 26 millones de dólares más del alijo de Bybit

El Grupo Lazarus de Corea del Norte lanzó el domingo por la mañana una moneda meme llamada QinShihuang en la plataforma Pump Fun para lavar 26 millones de dólares de los casi 1.500 millones de dólares que robaron del intercambio de criptomonedas Bybit.

El investigador de la cadena de bloques ZachXBT fue el primero en revelar esto, como de costumbre, confirmando que la billetera involucrada (5STkQy…95T7Cq) envió exactamente 60 tokens SOL a otra billetera (9Gu8v6…aAdqWS) antes de lanzar medio millón de tokens QinShihuang.

En aproximadamente tres horas, estos tokens se comercializaron intensamente y el volumen de transacciones superó rápidamente los $26 millones.

Zach traclos fondos con claridad. Dijo que los atacantes transfirieron $1.08 millones de USDC robados de Bybit a la dirección de billetera 0x363908df2b0890e7e5c1e403935133094287d7d1 el 22 de febrero.

Los atacantes de Bybit transfirieron estos fondos desde Ethereum a la cadena de bloques Solana , utilizando la billetera EFmqz8PTTShNsEsErMUFt9ZZx8CTZHz4orUhdz8Bdq2P.

Cómo lo está logrando Lázaro

Después de eso, Lazarus movió los USDC a Binance Smart Chain (BSC), donde tracde Zach mostró que dos billeteras separadas dividieronmaticlos USDC robado en más de treinta direcciones diferentes, dividiendo los fondos en transferencias más pequeñas y más difíciles detrac.

Una vez divididos, Lazarus recombinó estos lotes más pequeños de fondos en una sola billetera: 0x0be9ab85f399a15ed5e8cbe5859f7a882c7b55a3. Zach confirmó la billetera 0x0be9 y dividió los fondos nuevamente, enviando 106,000 USDC equitativamente a diez nuevas billeteras.

Esas diez billeteras volvieron a conectar todo a Solana, completando un ciclo completo de blockchain diseñado específicamente para confundir a tracde blockchain. ¿No es impresionante?

Zach también notó algo extraño. Muchas de estas direcciones Solana recibían pequeñas transacciones de "polvo" de monedas meme de estafadores aleatorios.

Lazarus, en lugar de ignorar este polvo, comenzó a intercambiar activamente estas monedas meme por SOL. Limpiaron el SOL sucio, lo mezclaron y movieron los fondos mediante operaciones de Pump Fun, exactamente igual que con QinShihuang.

Zach publicó públicamente las direcciones involucradas (alrededor de 920 billeteras), pero eliminó billeteras específicas de tractractrac tractractractrac tractrac. Puedes encontrarlas aquí.

El dinero robado de Bybit luego terminó en varios intercambios de criptomonedas y plataformas de intercambio, desapareciendo silenciosamente detrás de transacciones que parecían legítimas.

Mert, director ejecutivo de Helius Labs, comentó directamente sobre los riesgos, afirmando que los equipos que crean aplicaciones descentralizadas sin filtros ni protecciones cometen un grave error. Comparó las aplicaciones de criptomonedas con el correo electrónico, donde la tecnología subyacente es neutral, pero el software orientado al usuario, como Gmail, bloquea a los actores maliciosos conocidos.

Según Mert, las aplicaciones de criptomonedas deben implementar el mismo filtrado básico si saben que ciertas direcciones de billetera pertenecen a grupos criminales como Lazarus. Mert aclaró que no verificó personalmente si Lazarus emitió las monedas directamente, pero hizo estos comentarios para advertir a los desarrolladores en general sobre riesgos como estos.

Mert cuestionó específicamente por qué Pump Fun no incluyó en la lista negra las billeteras asociadas con Lazarus. Con el alto volumen de operaciones de Pump Fun, Lazarus compró fácilmente monedas en billeteras limpias, elevó los precios usando SOL robados y luego vendió todo de vuelta a esas billeteras limpias. Mediante simples operaciones de bombeo y descarga, Lazarus convirtió criptomonedas robadas, claramente trac, en ganancias limpias etrac.

No es el primer rodeo de Lázaro

Los descubrimientos de Zach demostraron que Lazarus ya había hecho esto antes. Algunas direcciones del esquema de lavado de activos actual lanzaron previamente otros tokens meme en Pump Fun. Esto significa que Lazarus ha explotado repetidamente la actividad comercial de Pump Fun para blanquear dinero.

SlowMist, una empresa de investigación de seguridad, señaló que Lazarus utilizó intensamente la plataforma de mezcla de criptomonedas eXch. eXch se negó directamente a ayudar cuando Bybit solicitó cooperación.

En cambio, eXch publicó la solicitud de interceptación de Bybit y la rechazó con enojo. SlowMist explicó claramente que eXch ataca abiertamente al personal de seguridad, exponiendo información personal en línea.

tronenérgicamente a las plataformas de criptomonedas a aumentar las medidas de seguridad contra los fondos provenientes de eXch, que Lazarus utiliza regularmente para convertir ETH robado en criptomonedas más difíciles detrac, como Bitcoin y Monero.

Arthur Hayes, cofundador del exchange de criptomonedas BitMEX, le preguntó abiertamente a Vitalik Buterin en X si Ethereum podría considerar revertir la cadena de bloques para revertir el hackeo masivo a Bybit, que resultó en el robo de alrededor de 400.000 ETH.

La publicación de Arthur desató un debate inmediato entre los usuarios de criptomonedas. Insistió, afirmando claramente que creía que Ethereum había abandonado la inmutabilidad tras el hackeo de la DAO en 2016, cuando los desarrolladores Ethereum revirtieron un robo de 60 millones de dólares mediante una controvertida bifurcación dura.

Arthur afirmó que Ethereum "dejó de ser dinero" en ese momento. Argumentó abiertamente que si Ethereum había retrocedido antes, no debería haber resistencia a hacerlo de nuevo ahora para recuperar los fondos de Bybit.

Vitalik aún no ha respondido públicamente a la solicitud de Arthur. Pero muchos en la comunidad critican la sugerencia de Arthur, y algunos incluso creen que está troleando a Vitalik.

El tweet de Arthur también reavivó los debates sobre la inmutabilidad de la cadena de bloques, la descentralización y si alguna vez deberían volver a producirse retrocesos en las principales cadenas de bloques.

Los analistas de blockchain explicaron claramente por qué Ethereum probablemente no considere una reversión ahora. La red de Ethereumutiliza actualmente un modelo basado en cuentas para almacenar fondos, al igual que los bancos tradicionales.

Cuando los desarrolladores Ethereum revirtieron el ataque a la DAO, los nodos actualizaron sus versiones de software y transfirieron los fondos de ETH a nuevas direcciones. Hoy en día, revertir un ataque similar requeriría un consenso masivo de usuarios, nodos y desarrolladores Ethereum , un consenso prácticamente imposible hoy en día.

Algo similar ocurrió con Bitcoin en 2019. BinanceEl CEO de Bitcoin después de que unos hackers robaran 40 millones de dólares. Rápidamente cambió su discurso de "revertir" a "reorganizar" debido a las críticas.

Los mineros y maxis de Bitcoinrechazarontronla idea y criticaron cualquier intento de revertir las transacciones como una violación fundamental de los principios de descentralización.

La comunidad de Ethereumtambién rechazó las ideas de reversión esta vez. Sin embargo, blockchains más pequeñas han logrado revertirlas con éxito en el pasado, generalmente después de un ataque. Es poco común, pero no completamente inaudito.

masivo robo el viernes pasado. Detectó actividad sospechosa en cadena que involucraba más de $1.47 mil millones que salían rápidamente de Bybit. Zach observó cómo los atacantes intercambiaban rápidamente tokens encapsulados como mETH y stETH por Ethereum a través de plataformas de intercambio descentralizadas, intentando ocultar agresivamente los fondos robados.