O FBI emitiu recentemente um chamado significativo para ação, pedindo aos operadores de nós de criptomoedas, bolsas, provedores de serviços de blockchain e o setor privado mais amplo que bloqueiem transações vinculadas a endereços envolvidos na lavagem de fundos do hack massivo de US$1,4 bilhão da Bybit.
A agência de aplicação da lei confirmou o que analistas da indústria suspeitavam há muito tempo: a Coreia do Norte estava por trás do ataque, que o FBI apelidou de “TraderTraitor”. Em um anúncio, o FBI detalhou o envolvimento do Lazarus Group, APT38, BlueNoroff e Stardust Chollima — todos pseudônimos para o mesmo grupo notório de criminosos cibernéticos patrocinados pelo estado.
O grupo TraderTraitor é conhecido há muito tempo por seus ataques cibernéticos sofisticados e crimes financeiros. Neste último incidente, o grupo mirou na Bybit, uma grande exchange de criptomoedas, e conseguiu roubar impressionantes US$1,4 bilhão em ativos digitais. Os ativos roubados estão sendo rapidamente convertidos em Bitcoin e outros ativos virtuais. Esses ativos foram dispersos em milhares de endereços em vários blockchains, complicando ainda mais os esforços para rastrear e recuperar os fundos. De acordo com o FBI, os ativos roubados provavelmente passarão por mais lavagem e, eventualmente, serão convertidos em moeda fiduciária.
A agência de aplicação da lei dos EUA agora está pedindo um esforço coordenado de vários setores dentro da indústria de criptomoedas para bloquear transações vinculadas ao grupo TraderTraitor.
Especificamente, o FBI está pedindo aos operadores de nó de Chamada de Procedimento Remoto (RPC), bolsas, provedores de serviços de finanças descentralizadas (DeFi), pontes e empresas de análise de blockchain que tomem medidas imediatas. O objetivo é impedir qualquer movimentação adicional dos ativos roubados e congelar ou limitar transações envolvendo endereços conectados ao grupo de hackers.
O hack em si já viu quantias substanciais dos fundos roubados lavados. Em 26 de fevereiro, mais de 135.000 Ether (ETH) foram convertidos e lavados, principalmente na forma de tokens Ether com stake líquido. O staking líquido permite que os usuários façam stake de Ether enquanto ainda mantêm a liquidez, tornando-se uma ferramenta popular para hackers que tentam descarregar grandes quantidades de ativos roubados sem levantar suspeitas. Além disso, aproximadamente 363.900 Ether, no valor de cerca de US$825 milhões a preços de mercado atuais, permanecem intocados desde que o hack ocorreu.
De acordo com a empresa de perícia criptográfica Chainalysis, partes do Ether roubado já foram trocadas por Bitcoin (BTC), a stablecoin Dai (DAI) e outros ativos. Essas trocas ocorreram por meio de exchanges descentralizadas (DEXs), pontes entre cadeias e serviços de troca instantânea que geralmente ignoram regulamentações financeiras tradicionais, como protocolos Know Your Customer (KYC). Essa falta de regulamentação tem sido uma preocupação para autoridades policiais e órgãos reguladores em todo o mundo, pois permite que os criminosos lavem fundos com mais facilidade e evitem a detecção.
O anúncio do FBI foi reforçado pelo suporte adicional de empresas de análise de blockchain como a Elliptic, que sinalizou mais de 11.000 endereços de carteiras criptográficas suspeitos de estarem envolvidos na exploração da Bybit. Acredita-se que esses endereços estejam diretamente conectados ao grupo de hackers ou estejam sendo usados para facilitar a lavagem de ativos roubados.
Para auxiliar a indústria em seus esforços para bloquear essas transações, uma lista de 51 endereços Ethereum vinculados ao TraderTraitor foi divulgada. Esses endereços foram identificados como nós críticos na operação de lavagem e precisam ser colocados na lista negra pelos participantes da indústria.
Esta investigação em andamento ressalta as táticas cada vez mais sofisticadas usadas por criminosos cibernéticos para explorar vulnerabilidades no espaço das criptomoedas. O envolvimento de atores apoiados pelo Estado como a Coreia do Norte adiciona uma camada complexa à situação, pois essas entidades geralmente têm recursos substanciais à disposição e podem realizar ataques de longo prazo e altamente estratégicos. O Lazarus Group, em particular, é notório por seu envolvimento em vários hacks importantes, incluindo o infame ataque de ransomware WannaCry de 2017 e suas ligações com o governo da Coreia do Norte.
A escala desse hack em particular também destaca um problema mais amplo dentro da indústria de criptomoedas — o risco crescente de crimes cibernéticos. À medida que o setor continua a se expandir, o mesmo acontece com a superfície de ataque para os criminosos cibernéticos. Embora a natureza descentralizada da tecnologia blockchain ofereça inúmeras vantagens, como transparência e imutabilidade, ela também cria desafios para autoridades regulatórias e agências de aplicação da lei que tentam rastrear atividades ilícitas.
Além disso, o anonimato fornecido por muitas transações de criptomoedas, particularmente em plataformas DeFi, torna mais fácil para hackers moverem fundos roubados sem chamar atenção. É aqui que empresas de análise de blockchain como Chainalysis e Elliptic desempenham um papel crucial. Ao rastrear a movimentação de fundos em diferentes carteiras e blockchains, essas empresas fornecem inteligência valiosa para ajudar as autoridades e participantes do setor a identificarem e bloquearem agentes maliciosos.
Para o setor de criptomoedas, este evento serve como um alerta. Embora muitas exchanges e plataformas tenham feito avanços significativos na melhoria da segurança e conformidade, este ataque mostra que as vulnerabilidades ainda existem. Ele também destaca a necessidade de maior cooperação entre o setor privado, as autoridades policiais e os órgãos reguladores. Sem essa colaboração, torna-se cada vez mais difícil enfrentar os desafios complexos impostos pelo crime cibernético no espaço de ativos digitais.
Além dos esforços técnicos para bloquear transações e rastrear os fundos roubados, o FBI também pediu que indivíduos com qualquer informação relacionada ao hack da Bybit entrem em contato com seu Internet Crime Complaint Center. Este apelo público por cooperação demonstra o comprometimento em combater crimes relacionados a criptomoedas e garantir que fundos roubados não sejam usados para financiar outras atividades ilícitas.
O hack da Bybit não é apenas um incidente, mas parte de uma tendência mais ampla de ataques cada vez mais sofisticados e bem financiados ao ecossistema de criptomoedas. À medida que o setor amadurece, ele precisará investir mais em segurança, conformidade e cooperação para evitar tais violações no futuro.
