Investigador de Criptomoedas ZachXBT revelou uma operação sofisticada envolvendo trabalhadores de TI norte-coreanos que se infiltraram na equipe de desenvolvimento de um projeto e roubaram US$ 1,3 milhão de seu tesouro.
O roubo ocorreu depois que os desenvolvedores, contratados sob identidades falsas, enviaram códigos maliciosos que facilitaram a transferência de fundos.
Furto interno
ZachXBT rastreou os fundos roubados por meio de um complexo processo de lavagem de dinheiro. Os US$ 1,3 milhão foram transferidos primeiro para um endereço de roubo antes de serem transferidos de Solana para Ethereum através da plataforma deBridge.
Os perpetradores então depositaram 50,2 ETH em Dinheiro Tornadoum misturador de criptomoedas bem conhecido, para obscurecer o rastro dos fundos roubados. Finalmente, eles transferiram 16,5 ETH para duas exchanges diferentes.
O método é semelhante às táticas usadas pelo famoso grupo de hackers norte-coreano Lazarus.
Por meio de sua investigação, ZachXBT descobriu que esses trabalhadores de TI norte-coreanos estavam operando em mais de 25 projetos de criptomoedas diferentes desde junho de 2024. Esses desenvolvedores usaram vários endereços de pagamento, e ZachXBT identificou um conjunto de pagamentos no valor aproximado de US$ 375.000 feitos a 21 desenvolvedores somente no último mês.
Análises posteriores revelaram que, antes desse incidente, US$ 5,5 milhões foram transferidos para um endereço de depósito de câmbio associado a pagamentos recebidos por trabalhadores de TI norte-coreanos entre julho de 2023 e julho de 2024. Esses pagamentos também mostraram conexões com Sim Hyon Sop, um indivíduo sancionado pelo Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC).
Padrões incomuns
A investigação da ZachXBT também descobriu padrões e erros incomuns cometidos por agentes maliciosos, incluindo sobreposições de IP entre desenvolvedores supostamente localizados nos EUA e na Malásia, e vazamentos acidentais de identidades alternativas durante uma sessão gravada.
Alguns desenvolvedores foram contratados por empresas de recrutamento, e muitos projetos empregaram três ou mais profissionais de TI que indicaram uns aos outros.
Em resposta à descoberta, ZachXBT tem entrado em contato com os projetos afetados, pedindo que revisem seus logs e conduzam verificações de antecedentes mais completas. Ele identificou vários indicadores para as equipes observarem, incluindo desenvolvedores indicando uns aos outros para funções, discrepâncias no histórico de trabalho e currículos polidos suspeitosamente ou atividade no GitHub.
O caso ilustra as vulnerabilidades atuais na indústria de criptomoedas, onde até mesmo equipes experientes podem contratar, sem saber, atores maliciosos. As descobertas da ZachXBT sugerem que uma única entidade na Ásia pode estar recebendo de US$ 300.000 a US$ 500.000 por mês explorando identidades falsas para garantir trabalho em vários projetos.
