O atacante que drenou US$ 81,5 milhões da ponte Orbit também pode ter se envolvido em vários outros ataques cibernéticos a protocolos de criptomoedas em 2023, incluindo os hacks da Coinspaid, da Coinex e da Atomic Wallet, de acordo com um relatório divulgado em 3 de janeiro pelos investigadores de blockchain da Match Systems ao qual o Cointelegraph teve acesso.
Especificamente, o relatório afirma que a análise dos dados referentes aos ataques "dá motivos para acreditar que o mesmo grupo criminoso, que em 2023 já havia cometido vários grandes hacks dos serviços de criptomoeda Atomic Wallet, CoinsPaid, CoinEx, etc., pode estar envolvido no hack da ponte Orbit, pois usou ferramentas e padrões associados aos hackers do Lazarus Group."
A Match Systems tentou rastrear a atividade do invasor da Orbit na blockchain e descobriram que a conta do invasor foi previamente financiada com fundos oriundos do Tornado Cash. Saques do Tornado Cash são uma tática comum usada por criminosos cibernéticos para ocultar a origem de seus fundos.
No entanto, os analistas afirmam ter "conduzido com sucesso atividades de reversão de mixers" para potencialmente desvendar a origem desses fundos. Para realizar a reversão dos mixers, eles usaram um software especializado para analisar as "características e padrões dos tokens e das transações antes e depois da passagem pelo mixer Tornado.cash, considerando volumes de transações e datas/horários, bem como outros métodos especializados."
Essa reversão revelou um grupo de endereços associado aos ativos movimentados, um dos quais usava o protocolo SWFT para transferir fundos para outros endereços. Uma parte dos fundos enviados por meio do SWFT foi para várias outras redes, terminando em uma única carteira da Tron.
A partir daí, a carteira Tron os enviava para uma exchange para serem sacados. A Match Systems não pôde confirmar a localização ou a jurisdição da exchange, mas afirma que algumas evidências indicam que ele está "relacionado à região da CEI [Comunidade dos Estados Independentes]."
A Match Systems afirma que o protocolo SWFT também foi usado nos ataques a DFX Finance, Deribit e AscendEX. Além disso, a Avalanche Bridge e o Sinbad foram usados tanto no ataque à Orbit quanto nesses incidentes anteriores, fornecendo outros indícios de que os ataques podem ter sido perpetrados por um mesmo grupo de hackers. A Match Systems afirma que as técnicas e plataformas utilizadas nos ataques reproduzem "padrões do conhecido Lazarus Group".
O Departamento Federal de Investigação dos EUA (FBI) associou um grupo cibercriminoso intitulado "Lazarus" como os autores dos hacks da Atomic Wallet e da Coinspaid em 2023 com base em análises comportamentais derivadas de dados de blockchain.
O ataque à Orbit Bridge foi a última grande exploração de protocolos da Web3 em 2023. Ele ocorreu na véspera do Ano Novo.
LEIA MAIS