O grupo de hackers norte-coreano Lazarus é supostamente responsável pelo hack de US$ 622 milhões no mês passado da Ronin Network, uma sidechain da Ethereum usada pelo cripto-jogo Axie Infinity.
A conexão foi revelada hoje quando o Departamento do Tesouro dos Estados Unidos anunciou que adicionou um novo endereço de carteira da Ethereum à sua lista de sanções para o Grupo Lazarus.
É o mesmo endereço de carteira que o criador do Axie Infinity, Sky Mavis, nomeou como o atacante Ronin no final de março.
A CoinDesk relatou a notícia pela primeira vez. Uma olhada no explorador de carteiras Ethereum Etherscan mostra o rótulo “Ronin Bridge Exploiter” para a carteira.
Desde então, a Sky Mavis reconheceu a conexão em uma atualização de seu post original sobre a exploração do Ronin.
As empresas de análise de blockchain Chainalysis e Elliptic também afirmaram que o endereço da carteira listado pelo Tesouro dos EUA hoje é o mesmo usado na exploração do Ronin.
O FBI rotulou a Lazarus como uma “organização de hackers patrocinada pelo estado” e seus primeiros ataques datam de 2009.
A Lazarus é supostamente responsável pelo ataque de ransomware WannaCry em 2017, violação da Sony Pictures em 2014 e uma série de ataques a empresas farmacêuticas em 2020.
“Não é surpreendente que este ataque tenha sido atribuído à Coreia do Norte”, escreveu Elliptic em um post no blog.
“Muitas características do ataque espelharam o método usado pelo Lazarus Group em ataques anteriores de alto perfil, incluindo a localização da vítima, o método de ataque (que se acredita ter envolvido engenharia social) e o padrão de lavagem utilizado pelo grupo após o evento. ”
A exploração da Ronin Network ocorreu em 23 de março, quando a ponte que conecta Ronin à rede principal Ethereum foi atacada usando chaves privadas hackeadas, que são chaves usadas para assinar transações.
As chaves hackeadas foram usadas para aprovar a transferência de fundos de cinco dos nove nós validadores ativos no Ronin.
Ao todo, o invasor roubou 173.600 WETH ou Wrapped Ethereum e 25,5 milhões de stablecoin USDC, que valiam coletivamente cerca de US$ 622 milhões quando o hack foi descoberto e divulgado em 29 de março.
Nas semanas seguintes, a Sky Mavis anunciou uma rodada de financiamento de US$ 150 milhões liderada pela Binance para ajudar a reembolsar os usuários afetados pelo ataque.
A Sky Mavis também usará seu próprio balanço patrimonial para garantir que os usuários possam retirar seus fundos, mas espera recuperar os fundos roubados nos próximos dois anos.
A Elliptic relata que 18% dos fundos foram lavados até o momento, enviando-os para várias exchanges de criptomoedas, bem como por meio do Tornado Cash, um serviço de contrato inteligente que mistura transações para dificultar o rastreamento.
A carteira ainda detém 147.753 ETH, que valem cerca de US$ 444 milhões até o momento.
Leia mais: Miami recebe touro robótico em homenagem ao Bitcoin (BTC)