A empresa forense de blockchain CipherTrace publicou uma análise detalhada de como dois cidadãos chineses, vinculados à Coréia do Norte, lavaram dezenas de milhões de dólares em criptomoedas roubadas.

Acredita-se que a dupla esteja associada ao sombrio Lazarus Group, que estava por trás da violação da Sony em 2014, a epidemia de ransomware WannaCry em 2017 e um ataque de US$ 7 milhões ao Bithumb (também em 2017).

Eles usaram 'cadeias de casca' para ocultar o tamanho dos depósitos e evitar atenção indesejada, também manipularam fotografias para enganar os processos de verificação KYC, entre outros truques.

Em 2 de março, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos Estados Unidos adicionou Tian Yinyin e Li Jiadong à sua lista de indivíduos e entidades sancionados por seu envolvimento na lavagem de criptomoedas roubadas de uma exchange sul-coreana em 2018. A dupla foi acusada de conspiração para lavagem de dinheiro e de operar uma empresa financeira sem licença.

US$ 234 milhões em criptoativos foram roubados da exchange - incluindo 218.800 Ether no valor de US$ 141 milhões, 10.800 Bitcoin no valor de US$ 95 milhões e entre meio milhão e US$ 3,2 milhões em Ethereum Classic, Ripple, Litecoin, Zcash e Dogecoin.

'Peel chain' usada para ocultar grandes depósitos

De acordo com a CipherTrace, os cibercriminosos fizeram uso de "peel chain (cadeias de casca)" para ofuscar o tamanho dos fundos depositados. Em vez de tentar fazer um depósito grande e único para uma exchange e atrair atenção indesejada, os criminosos estabeleceram uma cadeia de endereços pelos quais a criptomoeda roubada poderia passar, com uma pequena quantia de criptomoeda sendo encaminhada para a exchange a cada momento.

Uma vez que o capital fluiu através da cadeia de descascamento por 146 transações separadas, os fundos foram reconstituídos em apenas duas exchanges (novamente sem nome).

Os documentos do Tesouro dos EUA estimam que US$ 100,5 milhões em criptoativos roubados fluíram através de Tian e Li através de numerosas carteiras norte-coreanas. Tian transferiu mais de US$ 34 milhões de sua conta bancária para uma única exchange, enquanto Li usou nove bancos diferentes para canalizar US$ 33 milhões.

Investigações posteriores revelaram que o par também usou cadeias de casca para lavar com sucesso os fundos arrecadados por meio de dois outros hacks que, segundo se acredita, foram cometidos pela Coréia do Norte.

Os métodos utilizados mostram falhas nos processos KYC

Tian e Li conseguiram facilmente driblar os processos Know-Your-Customer (KYC) implementados pelas exchanges. A dupla carregou imagens em uma exchange supostamente mostrando um homem sul-coreano e um alemão segurando identificações emitidas pelo governo. Os metadados das imagens revelam que não apenas as imagens foram adulteradas, mas também exibiram cabeças diferentes fotografadas no mesmo corpo.

Outra exchange com melhores regras de segurança solicitou uma videoconferência para confirmar a identidade dos correntistas. Isso encerrou a tentativa fraudulenta de KYC.

Em um comunicado de imprensa anunciando as acusações contra os cidadãos chineses, o general Benczkowski, do Departamento de Justiça dos EUA (DoJ), afirmou que o DOJ "perfurará o véu de anonimato fornecido pelas criptomoedas para responsabilizar os criminosos, não importa onde eles estejam localizados".

No mês passado, um relatório concluiu que o uso da Internet na Coréia do Norte triplicou ao longo de três anos em meio à crescente adoção de criptomoedas pelo regime.