Após hackers terem roubado US$ 100 milhões em criptomoedas do Harmony Protocol na última sexta-feira (24), a equipe por trás da blockchain de primeira camada anunciou que ofereceria uma recompensa de US$ 1 milhão para quem tivesse informações sobre o hacker.
Porém, na quarta-feira (29), já surgiu um principal suspeito.
De acordo com um relatório publicado pela empresa de análise em blockchain Elliptic, a forma como os fundos foram roubados e subsequentemente lavados destaca o envolvimento do Lazarus Group, uma notória organização criminosa afiliada à Coreia do Norte.
Leia também: Coreia do Norte é líder mundial em golpes com criptomoedas, mostra estudo
Em abril, o governo americano concluiu que Lazarus, uma “organização de hackers financiada pelo Estado”, segundo o Departamento Federal de Investigação dos EUA (ou FBI, na sigla em inglês) estava por trás do hack de US$ 622 milhões à bridge Ronin, usada pelo jogo “play to earn” Axie Infinity.
Bridges “cross-chains” conectam blockchains e, geralmente, são usadas para conectar sidechains (blockchains paralelas), como Ronin, a sidechain do Ethereum, do Axie. Oferecem alta velocidade e baixas taxas de transação antes de repassar o trabalho para blockchains mais seguras, como a rede principal do Ethereum.
O hack à Harmony aconteceu de forma parecida à bridge Horizon, que conecta a rede Harmony ao Ethereum, Binance Chain e Bitcoin. O relatório da Elliptic nota as similaridades entre os ataques a ambas as bridges como um indício do provável envolvimento do Lazarus.
A forma como o hacker praticou o ataque, via engenharia social, também alude a outros hacks da Lazarus. O ataque à Harmony também é similar ao hack ao Axie Infinity no fato de que fundos roubados foram lavados em um padrão que inclui transferências automáticas.
“Apesar de nenhum outro fator provar o envolvimento do Lazarus, em conjunto, sugerem o envolvimento do grupo”, alega o relatório.
Outros fatores incluem o fato de que muitos membros da Harmony têm ligações com a região Ásia-Pacífico e Lazarus tende a ir atrás de alvos com sede na Ásia, possivelmente por conta dos idiomas utilizados. Além disso, os únicos momentos em que hackers param de movimentar fundos roubados consistem com as horas noturnas na região Ásia-Pacífico.
Até agora, os fundos foram lavados por meio do serviço de mixing Tornado Cash, que permite que usuários agrupem quantias significativas de criptomoedas e as convertam por diferentes moedas — um processo que ofusca rastros de transações e é comumente usado para lavar tokens roubados.
Neste caso, a Elliptic foi capaz de “desmisturar” as informações das transações no Tornado Cash feitas pelos hackers à Harmony e rastreou os fundos para inúmeras novas carteiras Ethereum.
Embora corretoras e empresas possam usar essa informação para garantir que não aceitem nenhum dos fundos roubados, as informações não fornecem meios para que a rede Harmony os recupere.
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.