O Grupo Lazarus lança moeda meme 'QinShihuang' para lavar mais US$ 26 milhões do fundo Bybit

O grupo norte-coreano Lazarus lançou na manhã de domingo uma criptomoeda fictícia chamada QinShihuang na plataforma Pump Fun para lavar US$ 26 milhões dos quase US$ 1,5 bilhão roubados da corretora de criptomoedas Bybit.

O investigador on-chain ZachXBT foi o primeiro a expor isso, como de costume, confirmando que a carteira envolvida (5STkQy…95T7Cq) enviou exatamente 60 tokens SOL para outra carteira (9Gu8v6…aAdqWS) antes de lançar meio milhão de tokens QinShihuang.

Em cerca de três horas, esses tokens foram negociados intensamente e o volume de transações rapidamente ultrapassou os 26 milhões de dólares.

Zach tracos fundos com clareza. Ele disse que os atacantes transferiram US$ 1,08 milhão em USDC roubados da Bybit para o endereço de carteira 0x363908df2b0890e7e5c1e403935133094287d7d1 em 22 de fevereiro.

Os atacantes da Bybit transferiram esses fundos do Ethereum para a blockchain Solana , usando a carteira EFmqz8PTTShNsEsErMUFt9ZZx8CTZHz4orUhdz8Bdq2P.

Como Lázaro está conseguindo isso

Depois disso, Lazarus transferiu os USDC para a Binance Smart Chain (BSC), onde tracde Zach mostrou que duasmaticseparadas dividiram automaticamente os USDC roubados em mais de trinta endereços diferentes, fragmentando os fundos em transferências menores e mais difíceis detrac.

Após a divisão, Lazarus recombinou esses lotes menores de fundos em uma única carteira: 0x0be9ab85f399a15ed5e8cbe5859f7a882c7b55a3. Zach confirmou que a carteira 0x0be9 então dividiu os fundos novamente, enviando 106.000 USDC igualmente para dez novas carteiras.

Essas dez carteiras novamente reconectaram tudo à Solana, completando um ciclo completo de blockchain projetado especificamente para confundir tracde blockchain. Não é um pouco impressionante?

Zach também notou outra coisa estranha. Muitos desses endereços Solana receberam pequenas transações de "pó" de moedas de memes de golpistas aleatórios.

Em vez de ignorar essa situação, Lazarus começou a trocar ativamente essas moedas de meme de volta para SOL. Eles limparam o SOL sujo, misturaram-no e movimentaram os fundos por meio de operações de Pump Fun — exatamente como fizeram com QinShihuang.

Zach divulgou publicamente os endereços envolvidos — cerca de 920 carteiras — mas removeu carteiras específicas das tractractrac tractractractrac tractracnovamente. Você pode encontrá-las aqui.

O dinheiro roubado da Bybit acabou em várias corretoras de criptomoedas e plataformas de troca, desaparecendo silenciosamente por trás de transações de aparência legítima.

Mert, CEO da Helius Labs, comentou diretamente sobre os riscos, afirmando que as equipes que desenvolvem aplicativos descentralizados sem filtros ou proteções estão cometendo um grande erro. Ele comparou os aplicativos de criptomoedas ao e-mail, onde a tecnologia subjacente é neutra, mas o software voltado para o usuário — como o Gmail — bloqueia agentes maliciosos conhecidos.

Segundo Mert, os aplicativos de criptomoedas devem implementar a mesma filtragem básica se souberem que determinados endereços de carteira pertencem a grupos criminosos como o Lazarus. Mert acrescentou claramente que não verificou pessoalmente se o Lazarus emitiu as moedas diretamente, mas fez seus comentários para alertar os desenvolvedores em geral sobre riscos como esses.

Mert questionou especificamente por que a Pump Fun não colocou na lista negra as carteiras associadas a Lazarus. Com o alto volume de negociação da Pump Fun, Lazarus comprava facilmente moedas em carteiras limpas, inflacionava os preços usando SOL roubado e depois vendia tudo de volta para essas carteiras limpas. Através de um esquema simples de pump-and-dump, Lazarus transformava criptomoedas roubadas e facilmente trac​​em lucros limpos e nãotrac.

Não é a primeira vez que Lázaro está no rodeio

As descobertas de Zach mostraram que Lazarus já fez isso antes. Alguns endereços do esquema de lavagem de dinheiro atual já haviam lançado outros tokens de memes na Pump Fun. Isso significa que Lazarus explorou repetidamente a atividade de negociação da Pump Fun para lavagem de dinheiro.

A SlowMist, uma empresa de pesquisa de segurança, apontou que o Lazarus utilizava amplamente a plataforma de mistura de criptomoedas eXch. A eXch se recusou categoricamente a ajudar quando a Bybit solicitou cooperação.

Em vez disso, a eXch publicou o pedido de interceptação da Bybit e o rejeitou veementemente. A SlowMist explicou claramente que a eXch tem como alvo declarado profissionais de segurança, expondo informações pessoais online.

Elestronfortemente as plataformas de criptomoedas a aumentarem as medidas de segurança contra fundos provenientes da eXch, que Lazarus usa regularmente para converter ETH roubado em criptomoedas mais difíceis detrac, como Bitcoin e Monero.

Arthur Hayes, cofundador da corretora de criptomoedas BitMEX, perguntou abertamente a Vitalik Buterin no fórum X se Ethereum poderia considerar reverter o blockchain para desfazer o ataque massivo à Bybit, que resultou no roubo de cerca de 400.000 ETH.

A publicação de Arthur desencadeou um debate imediato entre os usuários de criptomoedas. Ele reiterou sua posição, afirmando claramente que acreditava que Ethereum abandonou a imutabilidade após o ataque hacker ao DAO em 2016 — quando os desenvolvedores Ethereum reverteram um roubo de US$ 60 milhões usando um hard fork controverso.

Arthur afirmou que Ethereum "deixou de ser dinheiro" naquele momento. Ele argumentou abertamente que, se Ethereum já havia realizado um rollback antes, não deveria haver resistência em fazê-lo novamente agora para recuperar os fundos da Bybit.

Vitalik ainda não respondeu publicamente ao pedido de Arthur. Mas muitos na comunidade estão criticando a sugestão de Arthur, alguns até pensando que ele está provocando Vitalik.

O tweet de Arthur também reacendeu os debates sobre a imutabilidade do blockchain, a descentralização e se os rollbacks deveriam voltar a acontecer em blockchains importantes.

Analistas de blockchain explicaram claramente por que Ethereum provavelmente não considerará um rollback agora. A rede Ethereumatualmente usa um modelo "baseado em contas" para armazenar fundos, assim como os bancos tradicionais.

Quando os desenvolvedores Ethereum reverteram o ataque à DAO, os nós atualizaram suas versões de software e transferiram os fundos ETH para novos endereços. Hoje, reverter um ataque semelhante exigiria um consenso massivo entre usuários, nós e desenvolvedores Ethereum — um consenso praticamente impossível atualmente.

Algo semelhante aconteceu com Bitcoin em 2019. Binance, Changpeng Zhao, considerou abertamente reverter a valorização Bitcoin após hackers roubarem US$ 40 milhões. Ele rapidamente mudou sua linguagem de "reversão" para "reorganização" devido à reação negativa.

Os mineradores e maxis do Bitcoinrejeitaramtrona ideia, criticando qualquer tentativa de reverter transações como uma violação fundamental dos princípios da descentralização.

Desta vez, a comunidade Ethereumtambém rejeitou as ideias de reversão. Mas blockchains menores já realizaram reversões com sucesso no passado, geralmente após um ataque. É raro, mas não totalmente inédito.

Zach anunciou o roubo massivo da Bybit na última sexta-feira. Ele detectou atividades suspeitas na blockchain envolvendo mais de US$ 1,47 bilhão saindo rapidamente da Bybit. Zach observou os atacantes trocando rapidamente tokens encapsulados, como mETH e stETH, por Ethereum através de exchanges descentralizadas, numa tentativa agressiva de ocultar os fundos roubados.