Hackers norte-coreanos começaram a lavar os fundos roubados da Bybit, com a empresa de inteligência blockchain Elliptic rastreando mais de US$ 140 milhões em transações iniciais projetadas para obscurecer o rastro do dinheiro.
Os fundos roubados estão sendo sistematicamente movimentados por meio de exchanges anônimas antes de serem convertidos em Bitcoin, um processo que dificulta o rastreamento e a recuperação dos ativos, conforme relatado pela empresa em um post no blog no sábado (22).
“A segunda etapa do processo de lavagem é ‘estratificar’ os fundos roubados, a fim de tentar ocultar o rastro da transação”, escreveu a Elliptic. “Esse rastro pode ser seguido, mas essas táticas de estratificação podem complicar o processo de rastreamento, dando aos lavadores de dinheiro um tempo valioso para converter os ativos em dinheiro.”
O ataque de engenharia social, avaliado em US$ 1,46 bilhão, ocorrido na sexta-feira (21) e composto principalmente por Ethereum, é o roubo mais significativo na história das criptomoedas, superando os US$ 611 milhões roubados da Poly Network em 2021.
A Elliptic e a Arkham Intelligence associaram o ataque ao Grupo Lazarus da Coreia do Norte, citando o uso de exchanges descentralizadas e outros serviços, incluindo pontes entre cadeias e serviços de troca de moedas, numa tentativa de despistar as investigações.
“Se seguirmos os padrões anteriores de lavagem, podemos esperar o uso de mixers para obscurecer ainda mais o rastro das transações”, afirmou a empresa. Contudo, isso pode se revelar desafiador devido ao “puro volume de ativos roubados.”
Horas após o roubo, os criminosos distribuíram os ativos roubados em 50 carteiras diferentes, cada uma contendo aproximadamente 10.000 ETH. Segundo a Elliptic, os fundos estão sendo sistematicamente esvaziados e convertidos em Bitcoin.
Os atacantes converteram inicialmente tokens roubados, como stETH e cmETH, para Ethereum por meio de exchanges descentralizadas, provavelmente para evitar possíveis congelamentos de ativos.
Isso corresponde à tática típica do Grupo Lazarus de converter tokens roubados para ativos “nativos” da blockchain antes de proceder com novas camadas de ofuscação, conforme observado pela Elliptic.
Até o momento, o grupo roubou mais de US$ 3 bilhões em ativos cripto desde 2017, supostamente financiando o programa de mísseis balísticos da Coreia do Norte com os recursos, segundo um relatório da ONU no ano passado, embora esse valor seja suspeito de ser muito maior, conforme notado pela Elliptic.
Como resultado do roubo ocorrido no domingo, a Bybit enfrenta agora pressão devido às retiradas dos usuários, que retiraram aproximadamente 23.000 BTC da carteira quente da exchange, de acordo com dados da Arkham Intelligence.
As carteiras principais da exchange mostram que o saldo de Bitcoin caiu de 70.000 BTC para pouco mais de 52.000 BTC, indicando uma saída de cerca de US$ 1,7 bilhão desde a tarde de sexta-feira.
Leia Também
Análises adicionais sugerem que a Bybit registrou saídas totalizando US$ 6 bilhões em diversas criptomoedas.
Exchange cripto anônima responsabilizada
A Elliptic e outros, incluindo ZachXBT, também apontaram a exchange cripto anônima eXch como tendo processado “dezenas de milhões de dólares” em ativos roubados do hack, apesar dos pedidos diretos da Bybit para bloquear essa atividade.
“O Ethereum roubado está sendo constantemente convertido em Bitcoin, utilizando a eXch e outros serviços”, escreveu a Elliptic no domingo.
Uma suposta resposta por e-mail da eXch, arquivada no X no sábado e citada pela Elliptic, alega que a exchange optou por não atender aos pedidos da Bybit, afirmando que esta última já realizou “ataques diretos à reputação” da eXch no passado.
“É difícil para nós entender a expectativa de colaboração” de uma organização que “ativamente minou nossa reputação”, afirma o e-mail da eXch.
Em uma declaração à Decrypt, a eXch reconheceu ter recebido um pedido da Bybit para colocar na lista negra alguns endereços e afirmou: “De fato, houve alguns depósitos processados por nós, que representaram uma parte muito pequena do total de 90.000 ETH roubados.” A exchange explicou que “nosso provedor de triagem AML, um serviço terceirizado, possuía dados desatualizados sobre os endereços exploradores da ByBit por cerca de 12 horas.”
A eXch ainda argumentou que isso ocorreu porque a Elliptic a recusou como cliente “devido ao fato de sermos uma exchange sem KYC, visando preservar a privacidade de nossos usuários”, acusando a empresa de rastreamento de ter “políticas elitistas”. A exchange afirmou ainda ter “implementado medidas abrangentes para combater ativamente a lavagem de dinheiro e o financiamento do terrorismo.”
Em um post em um fórum de Bitcoin no domingo, a eXch negou as alegações de que estaria facilitando a lavagem de dinheiro.
“Não estamos lavando dinheiro para o Lazarus/DPRK”, escreveu a eXch, alegando que tal acusação era “a perspectiva de algumas pessoas que desejam que a fungibilidade das moedas descentralizadas e a privacidade on-chain desapareçam.”
Ela acrescentou: “A parte insignificante dos fundos que foi processada por nós, em um caso isolado do hack da Bybit, será doada para diversas iniciativas de código aberto dedicadas à privacidade e segurança, tanto dentro quanto fora do espaço cripto.”
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
Portal do Bitcoin
