Hackers norte-coreanos ligados ao Estado, conhecidos como Lazarus, são suspeitos de roubar criptomoedas do South Korean exchange Upbit . As autoridades da Coreia do Sul disseram que os saques não autorizados somaram cerca de USD 30 milhões. A bolsa detectou o saque em uma quinta-feira e começou a trabalhar com os reguladores para identificar a origem da violação. Investigadores que analisaram o evento disseram que o método usado na intrusão se assemelha a um ataque anterior a Upbit em 2019.
Os hackers removeram ativos digitais da exchange e transferiram os fundos por meio de várias carteiras de criptomoedas. A rápida movimentação dos fundos roubados dificultou a recuperação dos bens. O padrão de movimentos observado após o roubo reflete comportamentos descritos em casos anteriores ligados à Lazarus, incluindo transferências rápidas entre carteiras e o uso de múltiplas contas intermediárias.
A Upbit relatou a invasão logo após identificar as transações não autorizadas. A empresa começou a revisar controles internos de acesso e registros de transações para determinar como os atacantes conseguiram entrar. Ainda não divulgou detalhes sobre o ponto de entrada. O incidente gerou questionamentos sobre se os atacantes usaram credenciais comprometidas ou aproveitaram fraquezas nos sistemas de acesso à conta.
A Lazarus está associada a furtos em larga escala de criptomoedas há vários anos. Incidentes anteriores ligados ao grupo incluem a perda de ativos digitais de outras exchanges e de serviços baseados em blockchain. O motivo suspeito desses incidentes é a aquisição de moeda estrangeira para o governo norte-coreano, que enfrenta sanções internacionais que restringem a atividade financeira.
A violação de 2019 envolvendo a Upbit resultou em uma perda de cerca de USD 40 milhões. As autoridades observaram que a atividade observada no caso mais recente compartilha características com aquele evento anterior. Essas semelhanças contribuíram para a suspeita de que o mesmo grupo cometeu o roubo recente.
Após relatos públicos sobre a invasão, o preço das ações da empresa-mãe da Upbit caiu. Os investidores reagiram a preocupações sobre possíveis consequências regulatórias e o efeito na confiança dos clientes. Upbit afirmou que continua fortalecendo as medidas internas e que está cooperando com agências governamentais durante a investigação.
As autoridades estão revisando registros de blockchain e rastreando o movimento de fundos para identificar as carteiras envolvidas. Investigações anteriores envolvendo Lazarus mostraram que o grupo frequentemente distribui fundos roubados por vários endereços para esconder seu caminho. Essa tática pode complicar os esforços para identificar onde os fundos são armazenados.
Os usuários de exchanges de criptomoedas são aconselhados a manter cautela sobre onde armazenam seus ativos. Manter fundos em carteiras baseadas em exchanges pode expor os usuários a prejuízos caso uma plataforma seja comprometida. As opções de armazenamento a frio protegem usuários que não precisam de acesso imediato aos seus ativos.
O suposto envolvimento de Lazarus no roubo da Upbit ressalta a escala das operações realizadas por grupos de hackers ligados ao Estado. O roubo de ativos digitais continua sendo uma ameaça significativa para os mercados de criptomoedas e para os usuários que armazenam ativos em plataformas centralizadas.