Qual o próximo passo para os US$ 1,4 bilhão roubados no ataque hacker à Bybit?

A proeminente exchange de criptomoedas Bybit foi hackeada, sofrendo um roubo de mais de US$ 1,4 bilhão, considerado o maior da história do setor, e especialistas sugerem que os fundos roubados provavelmente serão lavados por meio de mixers e pontes entre blockchains.

De acordo com um relatório recente da empresa de segurança Web3 Elliptic, o infame Grupo Lazarus da Coreia do Norte, que ela acredita ser responsável pelo ataque, pode seguir seu padrão usual de lavagem de dinheiro.

Atualmente, os hackers da Bybit estão naquilo que o relatório denominou de “fase de estratificação”, a segunda etapa do seu processo de lavagem de dinheiro.

Nesta etapa, o Grupo Lazarus tenta obscurecer a origem dos fundos dispersando-os por várias carteiras, usando pontes entre cadeias para transferir ativos entre blockchains e trocando tokens em plataformas descentralizadas para complicar os esforços de rastreamento.

Isso foi precedido pela conversão inicial de tokens roubados em ETH, uma primeira etapa típica em sua estratégia de lavagem de dinheiro.

“Isso ocorre porque os tokens têm emissores que, em alguns casos, podem ‘congelar’ carteiras contendo ativos roubados, enquanto não há uma parte central que possa congelar Ether ou Bitcoin”, explicou o relatório.

Posteriormente, em apenas duas horas após o ataque, os fundos roubados foram divididos em 50 carteiras diferentes, cada uma contendo cerca de 10.000 ETH.

A Elliptic observou que os atacantes começaram a esvaziar sistematicamente essas carteiras, com mais de 10% dos fundos roubados já em movimento.

O próximo passo provável, acreditam os especialistas, envolverá o envio de parte dos fundos por meio de misturadores de criptomoedas como o Tornado Cash.

O Grupo Lazarus é conhecido por usar o Tornado Cash, e a plataforma já enfrentou fortes críticas no passado por facilitar as atividades de lavagem de criptomoedas da Coreia do Norte.

A Elliptic também acusou a exchange de criptomoedas eXch de desempenhar um papel significativo no processo de lavagem de dinheiro, acrescentando que os atacantes a estavam usando para converter o Ether roubado em Bitcoin.

A eXch “emergiu como um facilitador importante e disposto desse esforço de lavagem de dinheiro”, afirmou o relatório, acrescentando que a plataforma até se recusou a bloquear essas transações apesar dos pedidos diretos da ByBit.

A bolsa negou essas alegações em uma atualização pós-incidente.

Apesar desses esforços, especialistas da Elliptic acreditam que lavar uma quantia tão grande não será fácil para os hackers.

O grande volume de ativos roubados aumenta o risco de detecção, pois transações de grande porte têm maior probabilidade de acionar alertas em exchanges e sistemas de monitoramento de blockchain.

O hack de US$ 1,4 bilhão da ByBit

Em 21 de fevereiro, os atacantes exploraram a carteira fria multisig Ethereum da ByBit durante uma transferência de rotina para a carteira quente da exchange.

Os atacantes manipularam a interface de assinatura, fazendo com que ela exibisse o endereço correto da carteira enquanto alteravam a lógica subjacente do contrato inteligente.

Mais de US$ 1,4 bilhão em diversos ativos, como Mantle Staked ETH (mETH) e outros tokens ERC-20, foram desviados da exchange.

O investigador independente de criptomoedas ZachXBT descobriu ligações diretas na blockchain entre o ataque à Bybit e a recente violação da exchange Phemex, ambos suspeitos de serem obra do Grupo Lazarus.

O mesmo endereço inicial do roubo foi usado em ambos os incidentes,

A ByBit, no entanto, esclareceu que todos os usuários afetados pela violação seriam ressarcidos e lançou um programa de recompensa de US$ 140 milhões para especialistas em cibersegurança e analistas de blockchain que ajudarem a rastrear e recuperar os ativos roubados.