Investigadores de redes blockchain descobriram um indivíduo ligado a uma operação de lavagem de criptomoedas que está oferecendo tokens roubados a preços com desconto vinculados aos recentes hacks de exchanges da Stake e da CoinEx.
Em entrevista exclusiva ao Cointelegraph, um representante da empresa de segurança de blockchain Match Systems explicou como as investigações sobre várias violações importantes com métodos semelhantes durante o verão de 2023 no hemisfério norte identificaram um indivíduo que supostamente está vendendo criptomoedas roubadas por meio de transferências ponto a ponto (P2P).
Os investigadores conseguiram identificar e fazer contato com um indivíduo que oferecia os ativos roubados no Telegram. A equipe da empresa confirmou que este usuário detinha o controle de um endereço contendo mais de US$ 6 milhões em criptomoedas, após receber uma pequena transação do endereço correspondente.
A troca dos ativos roubados foi então realizada por meio de um bot do Telegram criado especialmente para tal fim, que ofereceu um desconto de 3% sobre o preço de mercado do token negociado. Após as conversas iniciais, o proprietário do endereço informou que os ativos em oferta haviam sido vendidos e que novos tokens estariam disponíveis cerca de três semanas depois:
"Mantendo nosso contato, esse indivíduo nos notificou sobre o início da venda de novos ativos. Com base nas informações disponíveis, é lógico supor que se trata de fundos das empresas CoinEx ou Stake."
A equipe da Match Systems não conseguiu identificar o indivíduo, mas deduziu que ele está localizado na Europa graças ao fuso horário identificado em várias capturas de tela que recebeu e nos horários das trocas de mensagens:
"Acreditamos que ele não faz parte da equipe principal [dos responsáveis pelos hacks], mas está associado a ela, possivelmente tendo sido desanonimizado como garantia de que não fará uso indevido dos ativos delegados."
O indivíduo também teria apresentado comportamento "instável" e "errático" durante várias interações, deixando abruptamente algumas conversas com desculpas como "Desculpe, preciso ir; minha mãe está me chamando para jantar."
"Normalmente, ele oferece um desconto de 3% nas transações. Anteriormente, quando o identificamos pela primeira vez, ele enviava 3,14 TRX como forma de conquistar a confiança de clientes em potencial."
A Match Systems disse ao Cointelegraph que o indivíduo aceitou Bitcoin (BTC) como meio de pagamento para os tokens roubados com desconto e que ele já havia vendido US$ 6 milhões em tokens TRON (TRX). A última oferta do usuário no Telegram listou US$ 50 milhões em tokens TRX, Ether (ETH) e Binance Smart Chain (BSC).
A empresa de segurança de blockchain CertiK identificara anteriormente a movimentação de fundos roubados no ataque à Stake em um contato com a redação do Cointelegraph. Cerca de US$ 4,8 milhões do total de US$ 41 milhões teriam sido lavados por meio de vários movimentos de tokens e trocas entre diferentes redes.
Mais tarde, o FBI identificou os hackers norte-coreanos do Lazarus Group como os culpados pelo ataque à Stake, enquanto a empresa de segurança cibernética SlowMist também vinculou o hack de US$ 55 milhões da CoinEx ao grupo norte-coreano.
Essas informações divergem ligeiramente das informações obtidas pelo Cointelegraph com a Match Systems, que sugerem que os autores dos hacks da CoinEx e da Stake tinham identificadores ligeiramente diferentes na metodologia utilizada nos ataques.
A análise da empresa destaca que as ações anteriores de lavagem de criptomoedas do Lazarus Group não envolveram nações da Comunidade dos Estados Independentes (CEI), como Rússia e Ucrânia, enquanto os fundos roubados em hacks recentes foram ativamente lavados nessas jurisdições.
Os hackers do Lazarus deixaram um mínimo de rastros digitais, enquanto os incidentes recentes deixaram muitos fragmentos de informação para os investigadores. A engenharia social também foi identificada como um dos principais vetores de ataque nos hacks de verão, enquanto o Lazarus Group tinha como alvo "vulnerabilidades matemáticas."
Por fim, a empresa observa que os hackers do Lazarus normalmente usavam o Tornado Cash para lavar as criptomoedas roubadas, enquanto incidentes recentes deixaram rastros em protocolos como o Sinbad e o Wasabi. As semelhanças ainda são significativas. Todos esses hacks usaram carteiras de BTC como o principal repositório dos ativos roubados, bem como a Avalanche Bridge e mixers para lavagem de tokens.
Dados de blockchains analisados no final de setembro de 2023 sugerem que os hackers norte-coreanos roubaram cerca de US$ 47 milhões em criptomoedas este ano, incluindo US$ 42,5 milhões em BTC e US$ 1,9 milhão em ETH.
LEIA MAIS