Hackers ligados à Coreia do Norte podem ter reduzido suas operações no segundo semestre de 2024 enquanto se preparavam para o que se tornaria o maior hack de criptomoedas da história.

A indústria cripto foi abalada pelo enorme ataque de 21 de fevereiro, quando a corretora Bybit perdeu mais de US$ 1,4 bilhão para o infame Lazarus Group, grupo hacker ligado ao regime norte-coreano, que teria preparado o ataque com meses de antecedência.

De acordo com a empresa de análise blockchain Chainalysis, as atividades ilícitas ligadas a hackers norte-coreanos despencaram após 1º de julho de 2024, apesar de um aumento nos ataques no início do ano.

Essa desaceleração levantou alertas, segundo Eric Jardine, líder de pesquisa em crimes cibernéticos da Chainalysis.

Atividade hacker da Coreia do Norte antes e depois de julho. Fonte: Chainalysis

A desaceleração começou quando Rússia e Coreia do Norte realizaram uma cúpula que levou à realocação de recursos norte-coreanos, incluindo militares para a guerra na Ucrânia, explicou Jardine ao Cointelegraph no programa Chainreaction, em 26 de março:

“Especulamos no relatório que pode ter havido outras realocações de recursos da Coreia do Norte não observadas. E então, em fevereiro, ocorre o ataque à Bybit.”

“A desaceleração pode ter sido um momento de reagrupamento para selecionar novos alvos ou analisar infraestruturas. Ou pode estar ligada a eventos geopolíticos,” acrescentou.

Segundo apuração do Cointelegraph, o Lazarus Group levou apenas 10 dias para lavar a totalidade dos fundos roubados da Bybit, utilizando o protocolo descentralizado cross-chain THORChain.

Ainda assim, especialistas em segurança blockchain permanecem otimistas de que parte dos fundos possa ser congelada e recuperada. Em 20 de março, mais de 80% dos US$ 1,4 bilhão ainda eram rastreáveis por investigadores on-chain.

Como ocorreu o maior hack da história cripto

O ataque à Bybit revela que mesmo exchanges centralizadas com fortes medidas de segurança ainda estão vulneráveis a ataques sofisticados, segundo analistas.

De acordo com Meir Dolev, cofundador e diretor técnico da Cyvers, o ataque compartilha características com os casos da WazirX (US$ 230 milhões) e da Radiant Capital (US$ 58 milhões).

Dolev explicou que a carteira fria multisig na Ethereum foi comprometida por meio de uma transação maliciosa disfarçada, enganando os signatários a aprovar uma alteração na lógica do smart contract.

“Isso permitiu ao invasor assumir o controle da carteira fria e transferir todo o ETH para um endereço desconhecido,” disse Dolev ao Cointelegraph.

Atividade hacker da Coreia do Norte. Fonte: Chainalysis

Ao longo de 2024, hackers norte-coreanos roubaram mais de US$ 1,34 bilhão em criptoativos em 47 ataques — um aumento de 102% em relação aos US$ 660 milhões roubados em 2023, segundo a Chainalysis.

O total representou 61% de todos os fundos cripto roubados no ano.