A empresa de análise de blockchain Elliptic finalmente identificou os hackers por trás do roubo de US$ 100 milhões em criptomoedas do protocolo Harmony.
O relatório da empresa aponta o grupo Lazarus como autores do ataque contra o protocolo. A Elliptic afirma que chegou a esta conclusão após rastrear as movimentações de fundos roubados do ataque. O padrão das operações, de acordo com a empresa, lembra o famoso grupo hacker.
Ligado ao governo da Coreia do Norte, o Lazarus é conhecido por participar de ataques notórios na história das criptomoedas. A polícia federal dos Estados Unidos (FBI) tem investigado o grupo e suas ações criminosas.
Por exemplo, o grupo esteve envolvido no ataque à Ronin do Axie Infinity, que perdeu mais de US$ 600 milhões na invasão. Este foi o maior ataque hacker na história das criptomoedas.
Recompensa e localização
Na última sexta-feira (24), hackers invadiram a ponte Horizon, que conecta a Harmony a outras blockchains, e roubaram milhares de criptomoedas. Conforme noticiou o CriptoFácil, a ação resultou no roubo de US$ 100 milhões.
O valor corresponde a R$ 520 milhões com base na cotação atual. Logo depois do ataque, a equipe por trás da Harmony ofereceu uma recompensa de US$ 1 milhão a qualquer pessoa com informações sobre o hacker. Também estenderam a oferta ao próprio hacker, caso ele ou eles devolvessem os fundos.
Contudo, o grupo ignorou a proposta e começou a mover os fundos roubados quatro dias após o ataque, com o objetivo de ocultar sua origem. E foi justamente isso que, de acordo com a Elliptic, possibilitou a identificação do grupo.
De acordo o relatório, a Elliptic analisou as transações realizadas no Tornado Cash, serviço que oculta a origem dos fundos. Posteriormente, a análise apontou que o hacker da Harmony utilizou um modelo de engenharia social parecido com aquele utilizado nos demais ataques do grupo.
O ataque à Harmony também possui traços do que ocorreu com o Axie Infinity, pois os fundos roubados foram lavados em um padrão que implica transferências automatizadas.
“Embora nenhum fator isolado comprove o envolvimento do Lazarus, em conjunto eles sugerem o envolvimento do grupo”, diz o relatório.
Outros fatores incluem o fato de que muitos membros da equipe Harmony têm laços com a região Ásia-Pacífico. A região é uma das que mais recebem ataques do Lazarus, provavelmente devido as similaridades entre os idiomas usados.
Além disso, as únicas vezes em que os hackers pararam de mover fundos para o Tornado Cash condizem com as horas noturnas na região Ásia-Pacífico. Ou seja, o grupo estava seguindo um horário padrão de quem mora ou trabalha naquela região do planeta.
Sobre o ataque e o Lazarus
Até agora, os hackers utilizaram apenas o Tornado Cash para ocultar os fundos roubados, que permite aos usuários reunir quantidades significativas de criptomoedas e trocá-las por moedas diferentes, um processo que ofusca as trilhas de transação e é comumente usado para lavar tokens roubados.
Em abril, o governo dos EUA concluiu que o Lazarus é uma “organização de hackers patrocinada pelo estado” de acordo com o FBI. As autoridades associaram o grupo ao ataque contra a Ronin, outra ponte entre protocolos.
As pontes conectam blockchains e são frequentemente usadas para unir sidechains (como a Ronin, que é uma sidechain do Ethereum). Elas também podem unir blockchains diferentes, como o caso da Horizon, que unia a Harmony com o Bitcoin, Ethereum e BNB Chain.
Com as informações da Elliptic, exchanges e empresas do setor podem tomar medidas para garantir que não aceitem nenhum dos fundos roubados. Dessa forma, os hackers terão mais dificuldade para gastar as criptomoedas ou convertê-las em moedas fiduciárias.
No entanto, as informações não fornecem meios para a Harmony recuperar os fundos roubados, mas a equipe disse que está trabalhando com o FBI para rastrear os fundos e conseguir reaver o dinheiro.
Leia também: OpenSea sofre violação de dados e alerta para phishing
Leia também: FTX fecha acordo para comprar BlockFi por US$ 25 milhões; 99% de ‘desconto’
Leia também: Veja quais foram as criptomoedas com pior desempenho no 1º semestre de 2022