Investigadores do setor de criptomoedas estão soando o alarme após o roubo de US$ 3,2 milhões de diversas Solana em 16 de maio de 2025, que, segundo eles, apresenta características do grupo Lazarus, ligado à Coreia do Norte. Os ativos roubados foram rapidamente vendidos na blockchain e transferidos para a Ethereum antes de parte deles ser lavada por meio da Tornado Cash .
Em 16 de maio, os Solana foram esvaziados de tokens, e os ativos foram então convertidos para Ethereum por meio de uma ponte, antes de parte deles ser depositada na Tornado Cash .
O pesquisador de blockchain ZachXBT alertou publicamente sobre a vulnerabilidade , traçando paralelos com atividades anteriores do grupo Lazarus.
Hackers interceptaram os fundos roubados
Investigadores da blockchain deram o alarme após observarem grandes transferências do endereço “ C4WY…e525 ” na Solana .
Essas transações, ligadas ao notório Grupo Lazarus, envolviam a movimentação dos tokens roubados por meio de uma ponte e sua conversão em Ethereum. ZachXBT detectou o ataque monitorando a atividade da ponte e tracfundos que acabaram em uma rede de carteiras no Ethereum.
Nos dias 25 e 27 de junho, 400 ETH foram enviados para a Tornado Cash em dois depósitos separados. Essas transações de 800 ETH, totalizando aproximadamente US$ 1,6 milhão, estão de acordo com as táticas de lavagem de dinheiro bem documentadas do Lazarus Group
Após ataques de grande repercussão como o da Bybit, onde US$ 1,5 bilhão foram roubados em fevereiro de 2025, e o de US$ 100 milhões da ponte Horizon da Harmony em 2022, entre outros ataques notáveis, o grupo Lazarus tem usado repetidamente o Tornado Cash , juntamente com exchanges descentralizadas e pontes entre blockchains, para lavar dinheiro, ocultando os rastros das transações.
Aproximadamente US$ 1,25 milhão ainda reside em uma carteira identificada dent “ 0xa5…d528 ” na Ethereum , mantida em uma combinação de DAI e ETH. Analistas especulam que esses fundos podem estar sendo mantidos para futura lavagem de dinheiro ou intencionalmente inativos para mitigar o risco de detecção.
O Grupo Lázaro está ativo desde 2017
O Grupo Lazarus ganhou reputação como a organização de cibercrime ligada ao Estado mais prolífica, sendo designado como uma Ameaça Persistente Avançada (APT) , associada às unidades de inteligência militar de elite de Pyongyang. Ao longo dos anos, desde 2017, o grupo roubou bilhões em criptomoedas.
O modus operandi deles geralmente começa com phishing ou infiltração por malware em funcionários-chave, explorando falhas emtracinteligentes ou vulnerabilidades em carteiras digitais. Uma vez obtidos os fundos, eles são rapidamente convertidos em ativos líquidos, divididos em várias carteiras e lavados em diferentes blockchains usando serviços de mistura como o Tornado Cash e serviços que oferecem trocas instantâneas sem a necessidade de verificação de identidade (KYC).
O Tornado Cash continua sendo fundamental para a estratégia de lavagem de dinheiro da Lazarus. Embora sanções dos EUA tenham sido impostas em 2022, a hospedagem descentralizada e a imutabilidade permitiram que o serviço evitasse o encerramento permanente. Em janeiro de 2025, um tribunal de apelações dos EUA reverteu essas sanções, citando considerações de liberdade de expressão, apesar das crescentes evidências que ligam a Lazarus ao uso contínuo de servidores de mistura.
Órgãos reguladores e bolsas de valores podem agora tomar medidas para marcar os endereços sinalizados como suspeitos. No entanto, dada a rapidez e a complexidade do esquema de lavagem de dinheiro da Lazarus, os serviços de mistura continuam a ser suficientes para ocultar a movimentação dos fundos roubados.
