O FBI ligou oficialmente o devastador hack da DMM Bitcoin ao grupo de hackers TraderTraitor da Coreia do Norte, que supostamente tem conexões com o infame Lazarus Group. Em maio, o ciberataque resultou no roubo de 4.502 Bitcoin, avaliados em $308 milhões, causando danos financeiros severos e o eventual fechamento da exchange de criptomoedas japonesa.
O ataque começou com táticas sofisticadas de engenharia social direcionadas à Ginco, uma empresa japonesa de carteira de criptomoedas. Os hackers se passaram por recrutadores no LinkedIn, enviando links maliciosos disfarçados como testes pré-emprego hospedados no GitHub. Um funcionário da Ginco clicou no link sem saber, permitindo que os hackers comprometessem sua conta do GitHub. Esse acesso permitiu que os atacantes se passassem pelo funcionário em comunicações internas.
Até maio, o grupo explorou esse acesso para manipular um pedido de transação legítimo de um funcionário da DMM Bitcoin. O Bitcoin roubado foi rapidamente transferido para carteiras controladas pelos hackers. Apesar dos esforços da DMM Bitcoin para recuperar os fundos e compensar os usuários por meio de recompra de Bitcoin, as perdas financeiras foram insuperáveis. Como resultado, a exchange anunciou seu fechamento permanente e planos de transferir as contas dos clientes para o SBI VC Trade até março de 2025.
Esta violação se destaca como um dos roubos de criptomoedas mais significativos do Japão, perdendo apenas para o hack da Coincheck em 2018, onde $530 milhões foram roubados. O incidente destaca a crescente ameaça apresentada por grupos cibercriminosos da Coreia do Norte no setor de criptomoedas. Somente em 2024, esses grupos foram responsáveis por roubar $1,34 bilhão em ativos de criptomoedas, representando cerca de dois terços de todos os roubos globais de criptomoedas.
Em julho, os fundos roubados foram canalizados através da Huione Guarantee, uma empresa que opera no Camboja. Relatórios da Chainalysis sugerem que a empresa esteve envolvida em golpes de 'pig butchering' avaliados em aproximadamente $49 bilhões. Em resposta, o Camboja iniciou uma repressão em dezembro, bloqueando o acesso a 16 exchanges de criptomoedas, incluindo plataformas importantes como Binance, Coinbase e OKX.
Taylor Monahan, um especialista em segurança da MetaMask, enfatizou o risco contínuo: “As pessoas do crypto (esperançosamente) já sabem que o Lazarus é um dos atores de ameaça mais prevalentes que visam esta indústria. Eles causaram mais danos a pessoas, empresas e protocolos do que qualquer outra pessoa. Mas é bom saber exatamente como eles entram. Porque outra auditoria de contrato inteligente não vai te salvar.”
Este ataque serve como um lembrete contundente da ameaça persistente e em evolução apresentada por cibercriminosos da Coreia do Norte. A capacidade deles de explorar erros humanos por meio de engenharia social e técnicas avançadas de infiltração continua a ser um desafio sério para a indústria global de criptomoedas.
