Lazarus, o grupo de hackers norte-coreano, é o responsável pelo recente roubo de US$ 622 milhões à Ronin Network, uma sidechain (blockchain paralela) do Ethereum, usada pelo jogo cripto “play to earn” Axie Infinity.
Pelo menos essa é conclusão revelada nesta quinta-feira (14) pelo Departamento do Tesouro dos EUA. A instituição anunciou ter acrescentado um novo endereço de carteira Ethereum à sua lista de sanções ao grupo Lazarus.
É o mesmo endereço de carteira que a Sky Mavis, criadora do Axie Infinity, identificou como pertencente ao grupo invasor à Ronin, no fim de março.
A CoinDesk foi a primeira a divulgar a notícia. Ao observar Etherscan, o explorador de carteiras Ethereum, é possível ver a legenda “Ronin Bridge Exploiter” na carteira sancionada.
Desde então, a Sky Mavis reconheceu a conexão ao atualizar sua publicação original sobre a invasão à Ronin. As empresas de análise em blockchain Chainalysis e Elliptic também afirmaram que o endereço de carteira recém-listado pelo Tesouro Americano é o mesmo utilizado no ataque à Ronin.
Financiamento estatal
O Departamento Federal de Investigação dos EUA (ou FBI, na sigla em inglês) considera Lazarus como uma “organização de hackers financiada pelo Estado” e seus primeiros ataques datam de 2009.
Lazarus é alegadamente responsável pelo ataque de ransomware à WannaCry, em 2017; pela violação à Sony Pictures, em 2014; e por uma série de ataques a empresas farmacêuticas em 2020.
“Não é tão surpreendente que esse ataque tenha sido atribuído à Coreia do Norte”, afirmou a empresa de investigação e análise Elliptic em uma publicação.
“Muitos recursos do ataque refletiram o método usado pelo Lazarus em enormes ataques anteriormente, incluindo a localização da vítima, o método de hack (acredita-se ter envolvido engenharia social) e o padrão de lavagem utilizado pelo grupo após o acontecimento.”
Invasão
A invasão à Ronin Network aconteceu em 23 de março, quando a “bridge” que conecta Ronin à rede principal do Ethereum foi atacada usando chaves privadas hackeadas — que são chaves criptografadas para assinar transações.
As chaves hackeadas foram usadas para aprovar transferências de fundos de cinco dos nove nós-validadores da Ronin.
Dito isso, o invasor roubou 173,6 mil em wrapped ether (WETH) e 25,5 milhões da stablecoin USD Coin (USDC) que, juntos, totalizavam cerca de US$ 622 milhões quando o hack foi descoberto e revelado (em 29 de março).
É o segundo maior hack na História do setor de Finanças Descentralizadas (ou DeFi) com base no valor dos ativos (US$ 552 milhões) no momento do ataque.
Nas últimas semanas, a Sky Mavis anunciou uma rodada de financiamento de US$ 150 milhões, liderada pela Binance, para ajudar a reembolsar usuários afetados pelo ataque.
A Sky Mavis também usou seu próprio balanço patrimonial para garantir que usuários possam sacar seus fundos, mas espera recuperar os fundos roubados ao longo dos próximos dois anos.
A Elliptic informa que 18% dos fundos roubados foram lavados até agora pelo envio a diversas corretoras de criptomoedas, bem como ao Tornado Cash, um serviço movido por contratos autônomos que mistura transações para dificultar seu rastreamento.
Neste momento, a carteira ainda possui 147.753 ETH (ou US$ 444 milhões).
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.