Hackers da Coreia do Norte atacam novamente! O grupo Lazarus roubou 30,6 milhões, a exchange sul-coreana foi afetada pela terceira vez.

O notório grupo de crimes cibernéticos da Coreia do Norte, Lazarus, é suspeito de ter planejado um grande ataque a ativos de criptografia, resultando em uma perda de cerca de 30,6 milhões de dólares para a maior exchange de criptografia da Coreia do Sul. O operador da exchange, Dunamu, confirmou que na quinta-feira ativos relacionados ao Solana no valor de 44,5 bilhões de won foram transferidos para uma carteira não autorizada, e a empresa afirmou que usará suas reservas próprias para compensar integralmente os usuários.

Organização Lazarus da Coreia do Norte suspeita de ataque hacker de 30,6 milhões de dólares

（origem：X）

De acordo com a Agência de Notícias da Coreia, citando fontes do governo e da indústria, há indícios de que este ataque pode estar relacionado com a mesma organização responsável por invasões anteriormente atribuídas ao Lazarus, e as autoridades estão se preparando para realizar uma inspeção no local da exchange. Esta organização já esteve ligada a atividades de roubo de ativos de criptografia, com o objetivo de gerar receita para Pyongyang em meio a uma contínua escassez de divisas. A Coreia do Norte enfrenta severas sanções internacionais, e os canais tradicionais de obtenção de divisas são extremamente limitados, fazendo do roubo de ativos de criptografia uma importante fonte de financiamento.

O operador da maior exchange de criptografia da Coreia do Sul, Dunamu, confirmou que, na quinta-feira, ativos relacionados ao Solana no valor de 44,5 bilhões de wons foram transferidos para uma carteira não autorizada. A empresa afirmou que usará suas reservas próprias para reembolsar os usuários integralmente e, ao mesmo tempo que iniciou uma verificação interna, rapidamente suspendeu saques e depósitos. Essa rápida resposta e o compromisso de reembolso integral demonstram que a Dunamu está tentando minimizar os danos à confiança dos usuários devido ao ataque hacker.

Os investigadores afirmaram que a técnica utilizada neste ataque é muito semelhante ao incidente de 2019, quando os atacantes supostamente roubaram Ethereum no valor de 58 bilhões de won sul-coreanos da mesma plataforma. As autoridades acreditam que os hackers desta vez podem ter contornado a infraestrutura central ao se passar por um administrador ou invadir contas internas, autorizando retiradas. Esta técnica de infiltração interna é muito típica dos modos de ataque da Lazarus, indicando que a organização tem um profundo conhecimento do sistema alvo e uma preparação de infiltração de longo prazo.

Oficiais de segurança afirmaram que esses fundos foram rapidamente transferidos através de carteiras associadas a outras plataformas, o que indica que alguém está tentando encobrir os rastros da transação usando métodos de lavagem de dinheiro que o Lazarus costumava empregar em suas operações. Um oficial declarou: “Esta é a tática que eles costumam usar, dispersando os tokens em várias redes para quebrar o rastreamento.”

padrão típico de ataque da organização Lázaro

Infiltração a longo prazo: infiltrar-se por meio de engenharia social ou ataques à cadeia de suprimentos durante meses ou até anos.

Roubo de permissões internas: Fazer-se passar por administrador ou invadir contas internas para obter permissões de retirada.

Transferência rápida: transfira rapidamente os fundos para várias Carteiras antes de serem descobertos.

Lavagem de dinheiro entre cadeias: dispersar tokens em várias redes de blockchain para quebrar o rastreamento

Serviço de Mistura: Utilize protocolos de mistura como o Tornado Cash para ocultar ainda mais o fluxo de fundos.

Analistas apontam que o Lazarus já atacou várias vezes plataformas de ativos de criptografia de destaque, a fim de maximizar a influência e a exposição, o que sugere que este ataque pode ter sido deliberadamente planejado para tirar proveito da alta atenção do público. A notícia do ataque à maior exchange de criptografia da Coreia do Sul tem um valor noticioso extremamente alto, e essa alta exposição pode ser uma forma de a Coreia do Norte demonstrar sua capacidade cibernética para a comunidade internacional.

Dunamu promete reembolso total e interrompe as negociações

A operadora da maior exchange de criptografia da Coreia do Sul, Dunamu, confirmou que, na quinta-feira, ativos relacionados ao Solana no valor de 44,5 bilhões de won sul-coreanos (cerca de 30,6 milhões de dólares) foram transferidos para uma carteira não autorizada. A empresa afirmou que irá utilizar suas reservas próprias para compensar totalmente os usuários e rapidamente parou os saques e depósitos enquanto iniciava uma auditoria interna. Este compromisso de compensação total não é comum em incidentes de hack em exchanges de criptografia, demonstrando a solidez financeira da Dunamu e sua responsabilidade para com os usuários.

A suspensão de retiradas e depósitos é uma medida de emergência padrão, destinada a impedir que atacantes transfiram mais fundos ou explorem vulnerabilidades do sistema. No entanto, essa suspensão também causa inconvenientes aos usuários normais, que não conseguem realizar transações ou retirar fundos. A Dunamu precisa equilibrar a investigação de segurança e a recuperação das operações normais; um tempo de suspensão prolongado pode levar à perda de usuários para plataformas concorrentes.

Embora a compensação total proteja os interesses dos usuários, isso representa um enorme fardo financeiro para a Dunamu. A perda de 30,6 milhões de dólares, juntamente com os possíveis custos de atualização de segurança, multas regulatórias e danos à reputação, pode fazer com que o custo total exceda em muito o valor da perda direta. Isso também levantou discussões sobre as reservas de segurança e os mecanismos de seguro das exchanges, se uma única exchange pode suportar o impacto financeiro de tais ataques a longo prazo.

Um analista de blockchain seguiu o fluxo de fundos roubados nas redes sociais. Um atacante não identificado roubou os fundos de várias carteiras quentes da maior exchange de criptografia da Coreia do Sul e, após um tempo de espera, começou a transferir os fundos entre cadeias. Em determinado momento, o hacker transferiu USDC de uma cadeia para outra por meio de uma ponte, e essa técnica de lavagem de dinheiro entre cadeias tornou o rastreamento extremamente difícil.

A coincidência da aquisição da Naver levanta questões

No dia seguinte ao anúncio do Naver sobre o plano de adquirir a Dunamu através da troca de ações, o exchange teve um incidente de violação, o que fez com que o Naver se tornasse o foco da atenção nacional. Essa coincidência temporal gerou várias especulações: Alguém está tentando prejudicar o caso de aquisição? Algum insider vazou informações sobre vulnerabilidades de segurança? Ou é apenas uma coincidência?

A Naver, como a maior empresa de internet da Coreia do Sul, tinha o plano de aquisição da Dunamu inicialmente visto como um marco na fusão da indústria de criptografia com gigantes da tecnologia tradicional. No entanto, a ocorrência de um ataque hacker pode afetar a avaliação da aquisição e as negociações dos termos. A Naver pode exigir uma redução no preço de aquisição ou aumentar as cláusulas de segurança, enquanto a Dunamu precisará provar à Naver que pode melhorar a proteção de segurança.

Ao mesmo tempo, a gigante da internet sul-coreana Naver, através da sua empresa de tecnologia financeira Naver Financial, está se preparando para lançar uma carteira de stablecoin em Busan, como parte dos esforços contínuos da cidade para construir uma economia local impulsionada por blockchain. Segundo relatos, a Naver já concluiu o desenvolvimento da carteira e atualmente está realizando as verificações finais, com lançamento previsto para o próximo mês. O projeto é desenvolvido em colaboração com a empresa de capital de risco Hashed e a exchange de ativos digitais de Busan (BDAN).

Este plano de expansão de negócios parece ainda mais sensível após o ataque de hackers. Para que a Naver construa uma reputação no campo da encriptação, deve provar que pode oferecer garantias de segurança mais fortes do que a maior exchange de criptografia da Coreia. Este incidente pode levar a Naver a realizar uma revisão de segurança e testes de pressão mais rigorosos antes de lançar sua carteira de stablecoins.

A Coreia do Sul pode reativar as sanções contra os hackers da Coreia do Norte

No início deste mês, a Coreia do Sul afirmou que, após os Estados Unidos adotarem novas medidas para vincular as atividades de roubo de criptomoedas de Pyongyang ao financiamento de seu programa de armas, a Coreia do Sul pode reconsiderar a forma como impõe sanções à Coreia do Norte. A Vice-Ministra das Relações Exteriores da Coreia do Sul, Kim Ji-na, declarou que Seul pode “reconsiderar as medidas sancionatórias quando realmente necessário”, enfatizando que irá coordenar estreitamente com Washington para enfrentar as crescentes ameaças cibernéticas e digitais da Coreia do Norte.

Jin afirmou: “Se Pyongyang roubar ativos de criptografia, a coordenação entre a Coreia do Sul e os Estados Unidos é crucial, pois esses ativos de criptografia podem ser usados para financiar os programas nucleares e de mísseis da Coreia do Norte, representando uma ameaça ao nosso ecossistema digital.” Esta declaração revela a dimensão geopolítica por trás dos ataques cibernéticos da Coreia do Norte, que não são apenas crimes econômicos, mas uma ameaça à segurança nacional.

De acordo com estimativas das Nações Unidas e do Departamento do Tesouro dos EUA, o valor total de ativos de criptografia roubados pela Coreia do Norte através de ataques cibernéticos já ultrapassou bilhões de dólares, e esses fundos foram utilizados para contornar sanções internacionais, manter a operação do regime e financiar programas nucleares e de mísseis. O grupo Lazarus, como a força cibernética mais elite da Coreia do Norte, tem como alvo ataques em todo o mundo, desde exchanges de criptografia até instituições financeiras tradicionais.

A perda de 30,6 milhões de dólares sofrida pela maior exchange de criptografia da Coreia do Sul não é a maior em termos de ataques de hackers da Coreia do Norte, mas a sua ocorrência após a divulgação do plano de aquisição da Naver, bem como a similaridade técnica com o evento de 2019, tornam a investigação e a atribuição deste incidente mais complexas. A questão de saber se o governo sul-coreano reiniciará sanções mais severas e como a comunidade internacional irá fortalecer a prevenção contra as ameaças cibernéticas da Coreia do Norte será o foco da atenção futura.