A polícia sul-coreana confirmou que a Coreia do Norte orquestrou um grande roubo de Ethereum em 2019.
Investigadores ligaram o ataque aos grupos Lazarus e Andariel ligados à inteligência militar.
Hackers lavaram Ethereum roubado por meio de 54 exchanges para ocultar as origens dos fundos.
A polícia sul-coreana confirmou o envolvimento da Coreia do Norte em um roubo significativo de criptomoedas em 2019. Segundo relatos, hackers ligados à agência de inteligência militar da Coreia do Norte roubaram 342.000 tokens Ethereum. As autoridades destacaram que esta é a primeira vez que a Coreia do Norte é diretamente ligada a um roubo de criptomoedas visando a Coreia do Sul.
Os tokens de Ethereum roubados foram avaliados em 58 bilhões de wons (41,5 milhões de dólares) na época do roubo. Na quinta-feira, a Agência Nacional de Polícia relatou que os tokens roubados agora valem mais de 1,4 trilhões de wons (1 bilhão de dólares).
A investigação foi conduzida com a ajuda do Departamento Federal de Investigação dos EUA (FBI). As autoridades identificaram oficialmente os grupos Lazarus e Andariel, ambos ligados ao Escritório Geral de Reconhecimento da Coreia do Norte, como responsáveis pelo hack.
Como os hackers realizaram o roubo
Os atacantes miraram uma exchange de criptomoedas com sede na Coreia do Sul, transferindo Ethereum para carteiras não identificadas. Embora as autoridades tenham mantido o nome da plataforma em sigilo, o Upbit, uma exchange sul-coreana, relatou uma perda de Ethereum comparável na mesma época.
Os hackers roubaram os ativos e usaram técnicas avançadas de lavagem para ocultar sua origem. Eles processaram mais da metade do Ethereum roubado através de três exchanges de criptomoedas que supostamente estabeleceram. Eles rotearam os fundos restantes através de 51 outras exchanges, frequentemente negociando-os a taxas com desconto por Bitcoin. Essa estratégia complicou significativamente os esforços para rastrear os ativos roubados.
Evidências-chave e recuperação de ativos
A polícia utilizou vários métodos para identificar os perpetradores e rastrear os fundos roubados. Eles analisaram endereços de Protocolo da Internet (IP) associados às transações. Também estudaram como os ativos roubados se movimentaram através da blockchain. Além disso, os investigadores notaram o uso de linguagem e terminologia únicas da Coreia do Norte, fortalecendo suas descobertas.
Em outubro de 2020, as autoridades fizeram progressos quando recuperaram 4,8 Bitcoin de uma exchange de criptomoedas suíça. Esses ativos, agora avaliados em 600 milhões de wons, foram devolvidos à exchange com sede em Seul. Essa recuperação destacou a importância da cooperação global no combate ao cibercrime.
A investigação policial beneficiou significativamente da colaboração com o FBI. Os investigadores ligaram o ataque à Coreia do Norte, combinando evidências de várias fontes. Estas incluíam endereços IP, padrões de transação e dados linguísticos ligados a grupos norte-coreanos.
As autoridades enfatizaram que esta investigação é um caso marco. Ela demonstra as capacidades da Coreia do Sul e de seus aliados em enfrentar crimes cibernéticos avançados. Os esforços para recuperar ativos roubados adicionais continuam em andamento, contando com ferramentas forenses e parcerias internacionais.
A polícia sul-coreana ligou o hack de $1B do Upbit à Coreia do Norte, publicado primeiro no CryptoTale.
