Indodax hackeado por US$ 22 milhões, suspeita-se que Lazarus Group

A bolsa de criptomoedas Indodax, sediada na Indonésia, é a mais recente vítima de um ataque, com especulações de que ele pode ter sido orquestrado pelo grupo norte-coreano Lazarus.

Sinalizado pela plataforma de segurança cibernética Cyvers e confirmado por outras plataformas como PeckShield e SlowMist.

O ataque teve como alvo a carteira ativa da Indodax e conseguiu desviar cerca de US$ 22 milhões em diversas criptomoedas, incluindo Bitcoin, Ether, Polygon e Tron, além de outros tokens.

Cyvers afirma que o roubo foi realizado em mais de 150 transações e o invasor imediatamente começou a trocar os fundos por Ether, uma tática comumente usada por criminosos para evitar que os ativos roubados fossem colocados na lista negra.

O Ethereum não suporta a modificação de permissões de endereço. Em contraste, outros tokens ERC-20 podem implementar uma função de mapeamento dentro de seus contratos inteligentes para manter uma lista negra de endereços.

Com os fundos roubados convertidos em ETH, os invasores tendem a lavar os despojos por meio de misturadores de criptomoedas como o Tornado Cash.

Detalhes do ataque

Neste caso, o assalto envolveu mais de US$ 1,42 milhão em Bitcoin, aproximadamente US$ 2,4 milhões em tokens baseados em Tron, mais de US$ 14,6 milhões em vários tokens ERC-20, cerca de US$ 2,58 milhões em POL e mais US$ 900.000 em ETH da blockchain Optimism.

De acordo com Cyvers, o ataque teve origem em um vazamento da chave privada da carteira ativa, possivelmente devido a uma violação na máquina de assinatura da Indodax — o dispositivo usado para assinar e aprovar transações.

No entanto, a SlowMist estimou que a exploração resultou de uma vulnerabilidade no sistema de retirada da bolsa, que permitiu ao invasor desviar os fundos das carteiras ativas.

Enquanto isso, a Indodax suspendeu todos os serviços em sua plataforma após reconhecer a violação e seu site também estava fora do ar no momento da publicação.

Em uma publicação no X, a plataforma disse que estava “realizando uma manutenção completa” e garantiu aos usuários que seus fundos estavam seguros.

Em uma postagem subsequente, a exchange também alertou os usuários para evitarem quaisquer entidades que se passem pela Indodax e ofereçam serviços de recuperação de fundos.

Essa é uma tática comum de golpe, na qual fraudadores enganam vítimas de violações de segurança para que enviem dinheiro, prometendo falsamente ajudar a recuperar os fundos perdidos.

Para dar algum alívio aos seus usuários durante a manutenção em andamento, a exchange anunciou uma oferta, oferecendo 3 milhões de rupias (aproximadamente US$ 200) a cada hora para três vencedores. Um movimento que não é típico em uma situação como essa.

No entanto, com um saldo de reserva de US$ 369 milhões, de acordo com dados da CoinMarketCap, a Indodax tem uma reserva considerável que pode ser usada para ajudar a compensar os investidores afetados.

Grupo Lázaro suspeito

Enquanto isso, Yosi Hammer, chefe de IA da Cyvers, sugeriu que o ataque tem semelhanças com hacks anteriores realizados pelo Lazarus Group da Coreia do Norte — famoso por seus sofisticados assaltos a criptomoedas.

O grupo Lazarus também foi especulado como estando por trás do ataque de 18 de julho à exchange indiana de criptomoedas WazirX. Em uma linha similar, US$ 230 milhões em ativos foram roubados das carteiras quentes da exchange e lavados via Tornado Cash.

A gravidade do ataque levou ao fechamento total da plataforma, que agora está seguindo um Esquema de Acordo de Cingapura.

Conforme relatado anteriormente pelo Invezz, o grupo de hackers apoiado pelo Estado norte-coreano esteve envolvido em mais de 25 ataques em vários blockchains de agosto de 2020 a outubro de 2023.