A THORChain, um protocolo de troca entre blockchains, registrou um aumento significativo em sua atividade, visto que o grupo por trás do roubo à Bybit tentou lavar os fundos desviados através da plataforma.
O roubo da Bybit, agora considerado o maior roubo de criptomoedas da história, ocorreu em 21 de fevereiro de 2025 e resultou na perda de cerca de US$ 1,46 milhão em ETH e uma pequena quantidade de outros tokens.
Segundo o FBI e outros investigadores on-chain, o grupo norte-coreano Lazarus foi o responsável pelo ataque, portanto, o consenso é que o mesmo grupo tentou lavar os fundos roubados através da THORChain.
Os hackers provavelmente optaram pela THORChain devido à sua natureza descentralizada, que os ajudou a lavar os fundos roubados e, ao mesmo tempo, proteger suasdent.
Suas atividades trouxeram o protocolo de volta aos holofotes. No entanto, a THORchain não precisa de tanta atenção negativa, já que está lutando para se manter à tona. Ela chegou a suspender as operações de empréstimo no início deste ano, numa tentativa proativa de evitar uma debandada em massa.
O volume do THORChain antes e depois dos hackers
O analista on-chain Yu Jin afirma que os hackers converteram o Ethereum (ETH) roubado em Bitcoin (BTC) através da THORChain, o que resultou em um volume de negociação de US$ 2,91 bilhões na rede geradora de receita e em US$ 3 milhões em taxas para o protocolo.
Antes de os hackers norte-coreanos utilizarem a plataforma para lavar dinheiro sujo, o volume médio diário de transações da THORChain era de cerca de US$ 80 milhões. No entanto, quando a lavagem de dinheiro começou em 22 de fevereiro, esse valor começou a subir rapidamente, ultrapassando uma média de US$ 580 milhões por dia e totalizando US$ 2,91 bilhões em apenas cinco dias.
Somente em 26 de fevereiro, dados do explorador THORChain revelaram que a THORChain processou US$ 859,61 milhões em swaps, seu maior volume diário de todos os tempos, e adicionou mais US$ 210 milhões em 27 de fevereiro, elevando o total para mais de US$ 1 bilhão em 48 horas.
Se ainda havia alguma dúvida de que o ataque cibernético tinha alguma relação com o Grupo Lazarus, a decisão de trocar os fundos da Bybit por Bitcoin se encaixa perfeitamente no modus operandi do grupo ligado à Coreia do Norte.
THORChain não aprecia a atenção
Um dos principais desenvolvedores da THORChain e engenheiro da Nine Realms, usando o pseudônimo "Pluto", reconheceu por meio de uma publicação no X (antigo Twitter) que fundos ilícitos de fato passaram pelo protocolo.
“Quando começamos a ver fluxos ilícitos na THORChain, nossa equipe fez a ponte entre as carteiras digitais e os parceiros de integração, ajudando-os a integrar serviços de triagem como o @elliptic”, começou Pluto em sua postagem.
Ele acrescentou que a equipe está trabalhando ativamente com parceiros de carteira digital e integração para implementar serviços de triagem a fim de solucionar esse problema.
“Todos precisam trabalhar juntos para fazer o máximo possível para interromper esses fluxos sem comprometer a integridade da camada 1”, escreveu . “É nossa responsabilidade, como operadores da camada 1, garantir que a segunda e a terceira camadas (agregadores e front-ends) estejam em conformidade com as melhores práticas do setor.”
Segundo Pluto, se não fornecerem essa orientação, os governos tentarão desativar os satélites de nível 1, o que privaria o mundo de uma “infraestrutura de utilidade pública valiosa”
A THORChain teve alguma participação na contenção dos hackers?
O ataque hacker à Bybit está sendo considerado um teste de estresse para o ecossistema, que caminha lentamente rumo à adoção em massa. No passado, a notícia de um evento como esse teria provocado pânico generalizado tanto entre os investidores quanto entre os provedores de serviços, mas desta vez o setor seguiu um caminho diferente.
O CEO da Bybit, Ben Zhou, adotou uma abordagem transparente, revelando o ocorrido e tranquilizando seus usuários de que os fundos estavam seguros, apesar da sobrecarga nos saques. Após o ataque, a Bybit também presenciou uma demonstração de solidariedade de outras corretoras, incluindo Binance, que emprestou dinheiro para que os saques continuassem.
Desde então, muitas outras corretoras e entidades do setor de criptomoedas se mobilizaram para ajudar a recuperar e congelar os fundos roubados. A Bybit também reconheceu o esforço da THORChain em uma publicação . A publicação da X observou que a THORChain colocou em sua lista negra endereços ligados aos hackers, mas não há evidências claras de que o protocolo tenha impedido a lavagem de dinheiro por parte dos hackers.
Uma coisa é certa: a natureza descentralizada e sem permissão da THORChain foi fundamental para a decisão dos hackers de usá-la para lavar dinheiro, embora sua transparência tenha auxiliado nos esforços de trac.
Então, os hackers conseguiram recuperar os fundos roubados da THORChain? A resposta é sim, mas não sem complicações. Eles conseguiram limpar uma quantia significativa dos ativos roubados — pelo menos US$ 250 milhões (100.000 ETH) em poucos dias, com algumas estimativas sugerindo que até 20% do valor total (cerca de US$ 292 milhões) foram processados até 25 de fevereiro.
Para retirar o dinheiro, eles trocaram os ETH por BTC, DAI e outros ativos; em seguida, dividiram os fundos em várias carteiras para evitar serem detectados. Foi uma estratégia inteligente, mas suas ações não foram ocultadas. Graças à transparência do blockchain, empresas como Chainalysis e Elliptic conseguiram tracas movimentações dos fundos, o que levou ao congelamento de parte deles.
Até o momento, a Chainalysis relatou a apreensão de US$ 40 milhões e o congelamento de US$ 42,85 milhões por meio de esforços coordenados. Apesar de todos os congelamentos e recuperações, relatos afirmam que os hackers ainda detêm uma quantidade substancial de ETH, que supera em muito as posses de figuras proeminentes como o desenvolvedor da blockchain, Vitalik Buterin.
A situação permanece precária, com os hackers correndo contra o tempo para transferir os fundos roubados para fora da blockchain. A Bybit, com o apoio das autoridades, continua intensificando os esforços para recuperar seus fundos ou tracos hackers.
