Los investigadores de un equipo de análisis de blockchain vincularon el robo de USD 100 millones en criptoactivos la semana pasada con el notorio grupo de ciberdelincuencia con sede en Corea del Norte, Lazarus. La compañía dijo que había rastreado el movimiento de algunas de las criptomonedas robadas a un llamado mezclador utilizado para lavar esos fondos mal habidos.
La startup de blockchain, Harmony, anunció el 23 de junio que su Horizon Bridge, un servicio de puente entre cadenas que se utiliza para transferir activos entre la cadena de bloques de Harmony y otras cadenas de bloques, había sido atacado y se habían robado criptoactivos como Ethereum, Wrapped Bitcoin, Binance Coin y Tether.
Según la compañía de análisis de blockchain Elliptic, el atacante recurrió inmediatamente a Uniswap, un intercambio descentralizado, para convertir la mayoría de los activos en 85,837 Ethereum, que según los investigadores es un método común utilizado por los piratas informáticos para evitar que se incauten los activos robados.
Días después, el ladrón comenzó a mover Ethereum a Tornado Cash, un mezclador que se usa para lavar activos robados. Hasta el 29 de junio, el atacante había movido alrededor de 35 000 Ethereum (unos 39 millones de dólares) a Tornado Cash y el proceso continúa, escribieron los investigadores de Elliptic en una publicación de blog.
«Al enviar estos fondos a través de Tornado, el ladrón intenta romper el rastro de la transacción hasta el robo original. Esto hace que sea más fácil retirar los fondos en un intercambio», escribieron.
Usando los propios métodos de desmezcla Tornado de la compañía, los investigadores de Elliptic pudieron rastrear los fondos robados a través de Tornado Cash hasta varias billeteras nuevas de Ethereum. También sugirieron que otros intercambios y negocios criptográficos podrían usar el software de detección de transacciones de Elliptic para detectar si algún fondo entrante se originó a partir del hackeo de Horizon Bridge.
Su análisis del ataque encontró una combinación de factores que, según la empresa, indicaban que el Grupo Lazarus estaba involucrado. La pandilla ha robado más de $ 2 mil millones a través de múltiples robos de criptomonedas y recientemente comenzó a enfocarse en servicios de finanzas distribuidas (DeFi) como puentes entre cadenas. Se sospecha que Lazarus está detrás del atraco de al menos $540 millones en un hackeo el mes pasado de Ronin Bridge, una red basada en Ethereum que admite Axie Infinity, un videojuego de cadena de bloques.
Hubo similitudes entre los ataques a los puentes Horizon y Ronin, incluido un proceso automatizado de depósitos en Tornado.
El Departamento del Tesoro de EE. UU. también identificó a Lazarus, también conocido como AppleWorm, APT-C-26 y Hidden Cobra, entre otros alias, como el probable perpetrador de la violación del puente Ronin y anunció nuevas sanciones contra una billetera Lazarus Ethereum.
Los investigadores también notaron que el ataque Horizon Bridge se realizó a través de claves de cifrado comprometidas de una billetera de múltiples firmas que probablemente se produjo a través de un ataque de ingeniería social a los empleados de Harmony, que muchos miembros del equipo central de Harmony, con sede en EE. UU., tienen vínculos con Asia. -Región del Pacífico, y que las horas en que los fondos robados no se sacaron de Tornado Cash son consistentes con las horas nocturnas en esa región.
Todos esos indicadores apuntan con el dedo a Lázaro, escribieron.
En su última actualización de esta semana, los funcionarios de Harmony escribieron que se está llevando a cabo una «cacería humana global de los criminales», que todos los intercambios han sido notificados y que las fuerzas del orden y los socios de Harmony, Chainalysis y AnChainAI, están investigando.
También reafirmaron la fecha límite del 4 de julio para que los piratas informáticos devuelvan los criptoactivos de forma anónima y se queden con 10 millones de dólares. Al mismo tiempo, la compañía ofreció una recompensa de $10 millones por información que conduzca a la devolución de los fondos y al arresto de los piratas informáticos.
En abril, tres agencias de EE. UU. emitieron una alerta sobre el creciente interés de Lazarus en el mercado de las criptomonedas, que la pandilla ha atacado desde al menos 2020, y el año pasado enviaron una advertencia sobre el malware AppleJeus de Lazarus que se utilizó para robar criptomonedas.
Grupos de piratería de Corea del Norte que apuntan a las criptomonedas
Roger Grimes, evangelista de defensa basado en datos en la empresa de capacitación en concientización sobre seguridad KnowBe4, dijo El registro que los grupos de piratas informáticos de Corea del Norte se han centrado durante mucho tiempo en los fondos financieros tradicionales y ahora están mirando las criptomonedas. Una razón clave es que es difícil revertir la situación cuando se ha producido un ataque.
«Con las finanzas tradicionales, si alguien roba algo de valor, es bastante fácil identificar el robo, revertir la transacción y recuperar a la víctima», dijo Grimes.
«Las criptomonedas son más como bonos al portador. El titular de los bonos al portador es el propietario ‘legal’ de los bonos y su valor asociado, incluso si fueron robados. La mayoría de las criptomonedas y sus cadenas de bloques relacionadas no tienen un mecanismo para revertir una transferencia de valor incluso si esa transferencia fue ilegal o poco ética en todas las formas imaginables. El ladrón puede simplemente reírse en la cara de todos y decir: ‘Lamento tu mala suerte'».
Dada la gran cantidad de estafas y robos que involucran criptomonedas y otros proyectos DeFi, muchos de esos grupos están trabajando en formas de revertir o limitar el daño de los robos y las estafas. Sin embargo, no es fácil, dijo.
«Muchos dentro de las industrias de criptomonedas y DeFi están luchando contra estos nuevos métodos de reversión porque comienzan a hacer que las transacciones parezcan más reguladas y más cercanas a la moneda y los bancos regulares, que gran parte de la industria en línea aborrece de forma inherente», dijo Grimes. «Durante el tiempo que la industria de las criptomonedas y DeFi luche contra la creciente regulación, los ladrones como este grupo de piratería de Corea del Norte seguirán aprovechándose».
Dicho esto, es probable que se requiera una mayor regulación y supervisión porque la cantidad de personas que participan no crecerá significativamente siempre que puedan ser robadas sin recurso. ®
