Grupo Lazarus, da Coreia do Norte, é associado a diversos crimes digitais (Foto: Adobe Stock)
Na última sexta-feira (21), a corretora Bybit sofreu o que está sendo considerado como o maior roubo de tokens da história. Foram cerca de US$ 1,4 bilhão em criptomoedas perdidos após hackers assumirem o controle de uma das carteiras frias (offline) da exchange e transferirem 400 mil unidades de ETH e Staked Ether (stETH) para um endereço desconhecido. O episódio gerou uma onda de saques na plataforma, especialmente nas primeiras horas após a divulgação do hack. A instituição estabeleceu, então, uma recompensa de 10% para especialistas que conseguissem rastrear os valores e achar os culpados. Ou seja, US$ 140 milhões. E a descoberta foi feita por um especialista em segurança anônimo, cujo perfil no X (antigo Twitter) é “@ZachXBT”.
O detetive com mais de 800 mil seguidores apontou o “Lazarus Group” como o autor dos ataques e sua pesquisa foi respaldada pela empresa Arkham Intelligence, de inteligência de dados com foco em cripto. Na última quinta (25), Ben Zhou, o CEO da Bybit, anunciou no seu perfil no X que irá começar uma “guerra” contra a quadrilha. O executivo lançou um site de recompensas chamado “lazarusbounty.com” para mostrar os fundos movimentados pela organização ilegal. Qualquer usuário que conseguir rastrear essas aplicações será pago com um percentual das criptos eventualmente recuperadas – que Zhou afirma ser de 5%, mas no site o percentual mostrado é de 10%.
“Com o LazarusBounty.com, estamos tomando uma posição para garantir que cada transação seja visível e que cada hacker seja responsabilizado. Nossa ofensiva multifacetada é uma mensagem clara: se você roubar, será encontrado, e a justiça será rápida”, disse Zhou, em nota publicada no site da Bybit.
Hackers da Coreia do Norte têm histórico associado a roubos e espionagem
O Lazarus Group é uma quadrilha de hackers da Coreia do Norte que atua há mais de 10 anos desviando criptomoedas de instituições financeiras, além de realizarem ciberespionagem. Segundo o investigador anônimo, o grupo também está conectado, por exemplo, ao roubo recente de US$ 29 milhões na corretora Phemex feito em janeiro. De acordo com informações da Mynt, plataforma cripto do BTG Pactual, os invasores empregaram uma combinação de engenharia social avançada e manipulação técnica para a concretização do plano.
“Eles comprometeram o sistema de carteira de assinaturas múltiplas (multisig) da Bybit, manipulando sua interface para mostrar endereços corretos enquanto alteravam a lógica dos contratos inteligentes, conseguindo assim acessos não autorizados à custódia da corretora. Técnicas de phishing sofisticadas também foram usadas para obter credenciais internas, superando protocolos de segurança. Dessa forma, a falha não ocorreu em algoritmos criptográficos ou na blockchain, mas sim no fator humano e operacional do processo de autorização”, diz a Mynt, em relatório divulgado nesta quarta-feira (26). “Este ataque superou o hack da Ronin Bridge em 2022, que resultou na perda de US$ 625 milhões e marcava o maior roubo de cripto até então.”
Segundo informações da Reuters, o Lazarus também estaria por trás da invasão digital feita em 2023 à rede da NPO Mashinostroyeniya, empresa de mísseis da Rússia. No ano anterior, o Departamento do Tesouro dos EUA apontou que a organização norte-coreana também teria feito o ataque que levou US$ 620 milhões do game Axie Infinity. Já em 2021, uma investigação conduzida pela Organização das Nações Unidas (ONU) identificou a Lazarus como autora do desvio de US$ 280 milhões da corretora de câmbio KuCoin. As suspeitas, publicadas por empresas de segurança cibernética como a Mandiant, da Google Cloud, são de que o governo da Coreia do Norte patrocine esse ecossistema de hackers.
