A empresa de análise blockchain Chainalysis detalhou como hackers roubaram US$ 1,46 bilhão da exchange de criptomoedas Bybit e revelou as táticas de lavagem de dinheiro usadas pelo Grupo Lazarus, da Coreia do Norte.
Em 21 de fevereiro, a Bybit sofreu um grande ataque, perdendo US$ 1,46 bilhão em Ether (ETH) e outros tokens. A plataforma de segurança Blockaid classificou o incidente como o maior hack de exchange da história, e o investigador blockchain ZachXBT identificou os hackers como pertencentes ao Grupo Lazarus, ligado à Coreia do Norte.
Em 24 de fevereiro, a Chainalysis publicou um relatório explicando como o ataque aconteceu. O documento explora as técnicas utilizadas no hack, citando um “manual de operação comum” usado por hackers norte-coreanos. A empresa destacou que o grupo se baseou em táticas de engenharia social e técnicas complexas de lavagem de dinheiro para movimentar os ativos roubados.
Gráfico Chainalysis Reactor mostrando a complexidade dos métodos de lavagem do hacker da Bybit. Fonte: Chainalysis
Chainalysis detalha passo a passo o hack da Bybit
A Chainalysis informou que o ataque começou com uma campanha de phishing direcionada aos responsáveis pelas carteiras frias da Bybit. Os atacantes obtiveram acesso à interface de usuário da Bybit, o que lhes permitiu substituir um contrato de implementação de carteira multisig por uma versão maliciosa. Isso possibilitou a realização de transferências não autorizadas de fundos.
A Chainalysis afirmou que os hackers interceptaram uma transferência rotineira da carteira fria de Ethereum da Bybit para uma carteira quente. Em seguida, desviaram cerca de 401.000 ETH (US$ 1,46 bilhão) para seus próprios endereços. Os fundos foram então divididos entre diversas carteiras intermediárias, uma tática comum para dificultar o rastreamento das transações.
“Os ativos roubados foram então movimentados por meio de uma complexa rede de endereços intermediários. Essa dispersão é uma tática comum usada para obscurecer o rastro e dificultar os esforços de rastreamento por analistas de blockchain.”
Os hackers converteram parte do ETH roubado para outros ativos, incluindo Bitcoin (BTC) e Dai (DAI). Eles usaram exchanges descentralizadas (DEXs), pontes cross-chain e serviços de swap instantâneo sem protocolos de Conheça Seu Cliente (KYC) para mover os ativos entre diferentes redes.
Depois disso, os fundos permaneceram inativos em vários endereços, o que a Chainalysis descreveu como uma estratégia deliberada usada por hackers norte-coreanos.
“Ao atrasar os esforços de lavagem de dinheiro, eles buscam superar o escrutínio intenso que normalmente ocorre logo após ataques de alto perfil,” escreveu a Chainalysis.
- 'Maior hack de cripto da história': ataque da Bybit é o mais recente golpe de segurança na indústria
Comunidade cripto congela US$ 40 milhões em fundos roubados da Bybit
Com os esforços de lavagem de dinheiro em andamento, a Chainalysis destacou que a transparência do blockchain permite que empresas de segurança cibernética rastreiem e monitorem atividades ilícitas.
A Chainalysis já trabalhou com parceiros da indústria para ajudar a congelar mais de US$ 40 milhões dos fundos roubados da Bybit. A empresa afirmou que continuará colaborando com setores público e privado para recuperar o máximo possível.
Em uma declaração ao Cointelegraph, a Chainalysis afirmou que o hack destaca a necessidade de investimento proativo na prevenção de ameaças. A empresa acrescentou que é essencial garantir transparência na proteção dos fundos dos usuários. “As exchanges precisarão explicar a seus reguladores e usuários como garantem a segurança dos fundos,” afirmou a Chainalysis.
A empresa também destacou que parcerias fortes entre os setores público e privado podem fortalecer a capacidade da comunidade de responder a incidentes como esse.