Os EUA tomam medidas legais para confiscar criptomoedas roubadas de hackers norte-coreanos

Os Estados Unidos estão processando hackers norte-coreanos que roubaram mais de US$ 2,67 milhões em criptomoedas. Em 4 de outubro, o governo apresentou duas denúncias para confiscar as criptomoedas roubadas.

O alvo? O infame Grupo Lazarus, uma equipe de hackers ligada ao governo norte-coreano. Os fundos em questão foram roubados em dois grandes assaltos a criptomoedas.

US$ 1,7 milhão em USDT provenientes do ataque hacker à Deribit em 2022 e US$ 970.000 em Bitcoin (BTC.b) intermediados Avalanche, obtidos da Stake.com em 2023.

A lenda de Lázaro

O grupo Lazarus vem invadindo sistemas de empresas e roubando milhões desde pelo menos 2009.

Tudo começou com ataques de grande repercussão, como o ataque à Sony Pictures em 2014 e o roubo ao Banco de Bangladesh em 2016. Agora, seu foco está nas criptomoedas. 

Analistas estimam que, desde 2017, o grupo tenha arrecadado entre US$ 3 bilhões e US$ 4,1 bilhões de empresas de criptomoedas.

O ataque à Deribit foi classic do Lazarus Group. Eles invadiram uma carteira online e desviaram US$ 28 milhões em criptomoedas. Após obterem os fundos, usaram o Tornado Cash para ocultar seus trac.

O Grupo Lazarus então movimentou as criptomoedas por meio de vários endereços Ethereum para dificultar ainda mais o trac.

Apesar de o grupo usar máquinas de mistura e vários endereços, as autoridades policiais permaneceram em seu encalço. Agora, elas querem recuperar pelo menos US$ 1,7 milhão dos USDT roubados.

Tracde roubo de criptomoedas

O grupo Lazarus, também conhecido como APT38 ou Bluenoroff, é notório por seus ciberataques e roubos de criptomoedas. O grupo é altamente qualificado, com ferramentas personalizadas para cada alvo. 

O que é chocante é a enorme escala das operações do grupo. Relatórios de empresas de análise como Chainalysis e TRM Labs mostram o tamanho do estrago causado pelos hackers.

Eles estimam que o grupo Lazarus tenha roubado entre US$ 3 bilhões e US$ 4,1 bilhões desde 2017, principalmente de corretoras. Em agosto de 2023, eles assumiram o controle da carteira de implantação dadefida Stea e drenaram US$ 1,2 milhão em criptomoedas.

Este ataque foi engenharia social da mais alta qualidade. Um membro da equipedefi da Stea baixou um arquivo malicioso de alguém que se passava por gestor de fundos no Telegram.

Em outro ataque, a plataforma Coinshift perdeu mais de US$ 900.000 em Ethereum (ETH) e, assim como aconteceu com a Deribit, a Steadefi e outras, os hackers lavaram as criptomoedas roubadas por meio do Tornado Cash.

O que é ainda mais interessante é a rapidez com que operam. Em 23 de agosto, os atacantes dos ataques à Steadefi e à Coinshift fizeram depósitos no pool de 100 ETH da Tornado Cash em questão de minutos.

Após converterem os fundos em stablecoins, os hackers do Lazarus usam exchanges ponto a ponto (P2P) para transformar as criptomoedas roubadas em cash.

A Paxful e a Noones, duas plataformas populares de P2P, foram peças-chave no processo. De acordo com as denúncias nos EUA, o endereço de depósito da Paxful pertencente ao Lazarus Group (0x2465) esteve envolvido em diversos ataques cibernéticos, incluindo aqueles direcionados à EasyFi, Bondly e Nexus Mutual.

Em resposta a esses ataques, diversas medidas foram tomadas para bloquear os fundos roubados. Em novembro de 2023, a Tether colocou US$ 374.000 em USDT vinculados à Lazarus em sua lista negra.

Ao mesmo tempo, outras corretoras centralizadas congelaram uma quantia não divulgada de criptomoedas. No quarto trimestre de 2023, três dos quatro principais emissores de stablecoins haviam bloqueado um total de US$ 3,4 milhões vinculados à Lazarus.

No entanto, apesar desses esforços, a Lazarus continua a evoluir e a se adaptar, tornando-se uma ameaça constante no setor.