A organização de crimes cibernéticos da Coreia do Norte, o Lazarus Group, é suspeita de estar por trás tanto do hack de US$ 1,4 bilhão na Bybit quanto do hack de US$ 29 milhões na Phemex, de acordo com as mais recentes evidências on-chain.

O hack da exchange Bybit em 21 de fevereiro resultou no maior roubo de criptomoedas da história, com os invasores roubando mais de US$ 1,4 bilhão em liquid-staked Ether (stETH), Mantle Staked ETH (mETH) e outros tokens ERC-20.

Analistas de segurança blockchain, incluindo a Arkham Intelligence e o investigador on-chain ZachXBT, rastrearam o ataque até o Lazarus Group.

Novas descobertas on-chain revelaram que as mesmas carteiras associadas ao Lazarus Group estavam por trás do hack de US$ 29 milhões na Phemex em janeiro.

“O Lazarus Group acabou de conectar o hack da Bybit ao hack da Phemex diretamente on-chain, misturando fundos do endereço inicial do roubo em ambos os incidentes”, escreveu ZachXBT em uma postagem no X em 22 de fevereiro.

Fonte: ZachXBT

De acordo com dados on-chain, as carteiras quentes da Phemex foram drenadas em US$ 29 milhões em ativos digitais por meio de mais de 125 transações individuais registradas em 11 redes blockchain antes de os invasores começarem a converter os fundos em Ether (ETH) usando protocolos de mixagem de criptomoedas como o Tornado Cash, tornando-os difíceis de rastrear.

O hack da Bybit, por si só, representa mais da metade dos US$ 2,3 bilhões roubados em ataques relacionados a cripto em 2024, marcando um revés significativo para a indústria.

Segundo Meir Dolev, cofundador e diretor técnico da Cyvers, o ataque apresenta semelhanças com os hacks de US$ 230 milhões na WazirX e de US$ 58 milhões na Radiant Capital. Dolev afirmou que a carteira fria multisig de Ethereum foi comprometida por meio de uma transação enganosa, levando os signatários a aprovarem, sem saber, uma alteração maliciosa na lógica do contrato inteligente.

“Parece que a carteira fria multisig de ETH da Bybit foi comprometida por meio de uma transação enganosa que levou os signatários a aprovarem, sem saber, uma alteração maliciosa na lógica do contrato inteligente.

Isso permitiu que o hacker assumisse o controle da carteira fria e transferisse todo o ETH para um endereço desconhecido”, disse Dolev ao Cointelegraph.

Lazarus Group ligado a alguns dos maiores roubos cripto

O Lazarus Group, da Coreia do Norte, é o principal suspeito de alguns dos incidentes de hacking mais notórios, incluindo o hack de US$ 600 milhões na Ronin Network e o hack de US$ 230 milhões na exchange WazirX.

Ao longo de 2024, hackers norte-coreanos roubaram mais de US$ 1,34 bilhão em ativos digitais em 47 incidentes, um aumento de 102% em relação aos US$ 660 milhões roubados em 2023, de acordo com dados da Chainalysis.

Atividade de hacking da Coreia do Norte. Fonte: Chainalysis

Isso representou 61% do total de criptomoedas roubadas em 2024.

Os Estados Unidos, Japão e Coreia do Sul emitiram um alerta conjunto em 14 de janeiro, advertindo sobre a crescente ameaça de hackers norte-coreanos direcionados à indústria cripto.

No último ano, hackers norte-coreanos também foram responsáveis pelos hacks de US$ 305 milhões na DMM Bitcoin, US$ 50 milhões na Upbit, US$ 50 milhões na Radiant Capital e US$ 16 milhões na Rain Management, segundo o comunicado conjunto.

A declaração foi feita quase três semanas após as autoridades sul-coreanas sancionarem 15 norte-coreanos por supostamente gerarem fundos para o programa de desenvolvimento de armas nucleares da Coreia do Norte por meio de roubos de criptomoedas e crimes cibernéticos.