A Coreia do Norte acaba de subir para o terceiro lugar entre os governos que detêm Bitcoin após um roubo de criptomoedas avaliado em US$ 1,4 bilhão. Em 21 de fevereiro, hackers do Grupo Lazarus, uma organização de crimes cibernéticos apoiada por Pyongyang, infiltraram-se na Bybit, uma das maiores corretoras de criptomoedas do mundo, roubando principalmente Ethereum.
Pouco tempo depois, o grupo converteu grande parte dos fundos roubados em Bitcoin, elevando o total acumulado pela Coreia do Norte para 13.562 BTC, no valor de US$ 1,14 bilhão.
Os Estados Unidos, que recentemente lançaram sua Reserva Estratégica Bitcoin (SBR, na sigla em inglês), continuam sendo o maior detentor governamental Bitcoin , com 198.109 BTC, avaliados em US$ 16,71 bilhões. O Reino Unido vem em seguida, com 61.245 BTC, no valor de US$ 5,17 bilhões. A nova posição da Coreia do Norte a coloca à frente do Butão, que detém 10.635 BTC (US$ 897,6 milhões), e de El Salvador, que possui 6.117 BTC (US$ 516,11 milhões).
O aumento repentino nas reservas ocorreu poucos dias antes de odent Donald Trump assinar uma ordem executiva em 6 de março, estabelecendo oficialmente a SBR, alimentando especulações sobre os motivos da Coreia do Norte na corrida global das criptomoedas.
O Grupo Lazarus cashfundos roubados apesar da repressão global.
A fortuna Bitcoin da Coreia do Norte não está simplesmente guardada em uma carteira. Empresas tracde blockchain relatam que US$ 300 milhões do ataque hacker à Bybit já foram cash, apesar dos esforços globais para congelar os fundos.
“Cada minuto importa para os hackers que tentam desfazer o rastro do dinheiro, e eles são extremamente sofisticados no que fazem”, disse Tom Robinson, cofundador da Elliptic, uma empresa trac fluxos ilícitos de criptomoedas. Os ativos roubados estão sendo movimentados por meio de um complexo processo de lavagem de dinheiro, e especialistas alertam que o dinheiro está financiando os programas nucleares e militares da Coreia do Norte.
O Grupo Lazarus também expandiu suas operações cibernéticas. Nos últimos meses, pesquisadores descobriram que os hackers haviam comprometido o npm, um gerenciador de pacotes popular entre desenvolvedores JavaScript.
Utilizando técnicas de typosquatting, o grupo Lazarus inseriu versões maliciosas de pacotes de software amplamente utilizados, enganando desenvolvedores para que baixassem código infectado por malware. Os pacotes corrompidos, incluindo is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency e auth-validator, injetavam o malware BeaverTail ao serem executados.
O BeaverTailtracdentde login, verifica arquivos do navegador em busca de senhas salvas e esvazia carteiras de criptomoedas como Solana e Exodus. "Este malware representa uma ameaça direta para desenvolvedores que trabalham em aplicativos financeiros e de blockchain", afirmou Kirill Boychenko, analista de inteligência de ameaças da Socket Security. O malware transmite secretamente os dados roubados para servidores controlados pelo grupo Lazarus, uma tática que o grupo de hackers utiliza há anos para permanecer indetectado.
A OKX está sob investigação por lavagem de dinheiro proveniente da operação Lazarus, enquanto a Bybit congela seus ativos.
Órgãos reguladores de toda a Europa estão investigando a OKX, uma das maiores plataformas de negociação de criptomoedas, devido a alegações de que ela foi usada para lavar US$ 100 milhões ligados ao ataque hacker à Bybit. Em 6 de março, autoridades dos 27 Estados-membros da União Europeia se reuniram sob a égide da Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA) para discutir se a plataforma Web3 da OKX se enquadra na regulamentação de Mercados de Criptoativos (MiCA).
As autoridades alegam que os hackers do grupo Lazarus usaram a carteira autossustentável e o serviço de negociação descentralizada da OKX para processar os fundos roubados e, se considerados culpados, a OKX poderá enfrentar penalidades severas.
Enquanto isso, a Bybit e outras corretoras estão congelando ativamente os fundos hackeados, mas nem todas as plataformas estão cooperando. Uma corretora, a eXch, supostamente permitiu que Lazarus cash mais de US$ 90 milhões antes de tomar providências. Executivos da Bybit acusaram Johann Roberts, proprietário da eXch, de atrasar deliberadamente o congelamento dos ativos.
Roberts nega qualquer irregularidade. "Inicialmente, não congelamos os fundos porque estávamos em uma disputa de longa data com a Bybit e não tínhamos certeza se os fundos eram provenientes do ataque", disse ele em um comunicado por e-mail. Mais tarde, ele confirmou que a eXch agora está cooperando, mas criticou as medidas regulatórias, argumentando que elas ameaçam a privacidade e o anonimato no mundo das criptomoedas.
Os Estados Unidos e seus aliados continuam a culpar a Coreia do Norte por dezenas de ataques cibernéticos a criptomoedas na última década, apontando para a dependência de Pyongyang em criptomoedas roubadas para contornar as sanções econômicas. O Lazarus Group inicialmente focava em ataques a bancos, mas nos últimos cinco anos mudou seu foco completamente para corretoras de criptomoedas, visando plataformas centralizadas, protocolos DeFi e desenvolvedores de blockchain.
