A plataforma de empréstimos de finanças descentralizadas (DeFi) Venus Protocol ajudou um usuário a recuperar criptomoedas roubadas após um ataque de phishing ligado ao Lazarus Group, da Coreia do Norte.
Na quinta-feira, a Venus Protocol anunciou que havia ajudado um usuário a recuperar US$ 13,5 milhões em criptomoedas após o incidente de phishing ocorrido na terça-feira. Na ocasião, a Venus Protocol pausou a plataforma como medida de precaução e iniciou uma investigação.
Segundo a Venus, a pausa interrompeu a movimentação de fundos, enquanto auditorias confirmaram que os contratos inteligentes e a interface da plataforma não foram comprometidos.
Votação de emergência permitiu a recuperação dos fundos
Uma votação de governança de emergência possibilitou a liquidação forçada da carteira do invasor, permitindo que os tokens roubados fossem apreendidos e enviados para um endereço de recuperação.
Invasores exploraram uma versão maliciosa do Zoom
No relatório pós-incidente, a Venus revelou que os invasores usaram uma versão maliciosa do Zoom para enganar a vítima e obter controle delegado sobre a conta.
Isso permitiu que os criminosos contraíssem empréstimos e resgates em nome da vítima, drenando milhões em stablecoins e ativos wrapped.
Os parceiros de segurança do protocolo, HExagate e Hypernative, identificaram a transação suspeita em poucos minutos, levando à decisão de pausar o protocolo. Segundo a Venus, o processo de recuperação ocorreu em menos de 12 horas.
Kuan Sun, identificado como a vítima do ataque, agradeceu às equipes envolvidas na recuperação. “O que poderia ter sido um desastre total se transformou em uma batalha que realmente vencemos, graças a um grupo incrível de equipes”, escreveu Sun.
PeckShield, Binance e SlowMist também ajudaram na recuperação.
Ataque de phishing ligado ao Lazarus Group
A análise da SlowMist vinculou o ataque ao Lazarus Group, um coletivo norte-coreano responsabilizado por grandes roubos de criptomoedas, incluindo a exploração da ponte Ronin de US$ 600 milhões e o hack de US$ 1,5 bilhão da Bybit.
Sun disse que a SlowMist realizou uma análise extensa e foi “uma das primeiras a apontar que o Lazarus estava por trás deste ataque.”
O Lazarus Group é um coletivo de hackers ligado à Coreia do Norte, acreditado como operando sob a agência de inteligência do país.