Como hackers da Coreia do Norte cometeram maior roubo de criptomoedas da história

por BBC

Hackers que supostamente trabalham para o governo da Coreia do Norte sacaram com sucesso pelo menos US$ 300 milhões (R$ 1,7 bilhão) de um roubo de criptomoedas de US$ 1,5 bilhão (R$ 8,7 bilhões) — que seria um recorde mundial.

Os criminosos, que trabalham juntos em um grupo conhecido como Lazarus, roubaram uma grande quantidade de tokens digitais em um hack na bolsa de criptomoedas ByBit há duas semanas.

Desde então, autoridades têm feito um jogo de gato e rato para rastrear e impedir que os hackers convertam com sucesso as criptomoedas em dinheiro de verdade.

Especialistas dizem que a equipe de hackers trabalha quase 24 horas por dia. Acredita-se que ela canalize o dinheiro roubado para o desenvolvimento militar do regime.

“Cada minuto importa para os hackers que tentam confundir o rastro do dinheiro e eles são extremamente sofisticados no que fazem”, diz Tom Robinson, cofundador da Elliptic, empresa de investigação de criptomoedas.

De todos os criminosos envolvidos com criptomoedas, os da Coreia do Norte são os que melhor conseguem fazer lavagem de criptomoedas, diz Robinson.

“Imagino que eles tenham uma sala inteira de pessoas fazendo isso usando ferramentas automatizadas e anos de experiência. Também conseguimos ver que eles só fazem algumas horas de intervalo por dia, possivelmente trabalhando em turnos para transformar a criptomoeda em dinheiro.”

A análise da Elliptic coincide com a da ByBit, que afirma que 20% dos fundos roubados já “desapareceram” — o que significa que é improvável que sejam recuperados.

Os EUA e seus aliados acusam os norte-coreanos de realizar dezenas de ataques nos últimos anos para financiar o desenvolvimento militar e nuclear do regime.

Em 21 de fevereiro, os criminosos hackearam um dos fornecedores da ByBit para alterar secretamente o endereço da carteira digital para onde 401 mil criptomoedas Ethereum estavam sendo enviadas.

A ByBit pensou que estava transferindo os fundos para sua própria carteira digital, mas, em vez disso, enviou tudo para os hackers.

Ben Zhou, ByBit CEO — O CEO da ByBit, Ben Zhou, ainda espera recuperar parte dos fundos roubados e está oferecendo recompensas a quem ajudar

Ben Zhou, CEO da ByBit, garantiu aos clientes que nenhum de seus fundos havia sido roubado.

Desde então, a empresa reabasteceu as moedas roubadas com empréstimos de investidores — mas está, nas palavras de Zhou, “travando uma guerra contra o Lazarus”.

A ByBit lançou um programa chamado Lazarus Bounty (“Recompensa do Lazarus”), em que incentiva as pessoas na internet a rastrearem os fundos roubados e congelá-los sempre que possível.

Todas as transações de criptomoedas são exibidas em um blockchain público, então é possível rastrear o dinheiro conforme ele é movimentado pelo Lazarus.

Se os hackers tentarem usar um serviço de criptomoeda convencional para transformar as moedas em dinheiro normal, como dólares, as criptomoedas podem ser congeladas se houver suspeita de que as movimentações estão ligadas a algum crime.

Até agora, 20 pessoas dividiram mais de US$ 4 milhões em recompensas por identificarem com sucesso US$ 40 milhões do dinheiro roubado e alertar as empresas de criptomoedas para bloquear as transferências.

Mas especialistas estão pessimistas quanto às chances de recuperação do restante dos fundos, dada a expertise norte-coreana em hackear e lavar dinheiro.

“A Coreia do Norte tem um sistema e uma economia muito fechados, então eles criaram uma indústria bem-sucedida para hacking e lavagem de dinheiro e não se importam com a impressão negativa do crime cibernético”, disse Dorit Dor, da empresa de segurança cibernética Check Point.

Outro problema é que nem todas as empresas de criptomoedas estão dispostas a ajudar.

A bolsa de criptomoedas eXch está sendo acusada pela ByBit e outras de não impedir os criminosos de sacarem suas criptomoedas.

Mais de US$ 90 milhões foram canalizados com sucesso por meio dessa bolsa.

Por e-mail, o misterioso proprietário do eXch, Johann Roberts, contestou isso.

Ele admite que inicialmente a eXch não interrompeu os saques dos fundos, pois sua empresa está em uma longa disputa com a ByBit, e ele diz que sua equipe não tinha certeza se as moedas eram definitivamente do hacker norte-coreano.

Ele diz que agora está cooperando com a ByBit, mas argumenta que as empresas tradicionais que identificam clientes de criptomoedas estão traindo os benefícios privados e anônimos da criptomoeda.

Park Jin Hyok é um dos hackers norte-coreanos do grupo Lazurus procurados pelo FBI com recompensa oferecida pelo programa Lazarus Bounty da ByBit

A Coreia do Norte nunca admitiu estar por trás do Grupo Lazarus, mas acredita-se que seja o único país no mundo que usa seus poderes de hacking para obter ganhos financeiros.

Anteriormente, os hackers do Lazarus tinham como alvo bancos, mas nos últimos cinco anos se especializaram em atacar empresas de criptomoedas.

O setor está menos protegido e há menos mecanismos para impedir a lavagem de fundos.

Os ataques recentes ligados à Coreia do Norte incluem:

o roubo contra a UpBit em 2019, um hack de US$ 41 milhões
o roubo de US$ 275 milhões da bolsa KuCoin — boa parte do dinheiro foi recuperada
o ataque de 2022 contra a Ronin Bridge, no qual US$ 600 milhões foram roubados em criptomoedas
cerca de US$ 100 milhões em cripto foram roubados em um ataque contra a Atomic Wallet em 2023

Em 2020, os EUA adicionaram norte-coreanos acusados de fazer parte do Lazarus à sua lista de criminosos cibernéticos mais procurados. Mas as chances de os indivíduos serem presos são extremamente pequenas, a menos que deixem seu país.