Reportado por The Block: Los hackers de Bybit han movido al menos 209,384 ETH (~$480 millones) a Bitcoin, la mayoría de los cuales fueron enviados usando ThorChain, según el experto en seguridad de Ethereum Taylore Moynahan y datos de Arkham Research.
Lazarus robó más de 400,000 ETH en el ataque del viernes, y alrededor de 113,000 tokens relacionados con ETH.
Algunos desarrolladores y validadores de ThorChain han intentado prevenir el lavado de dinero de Corea del Norte, pero se han enfrentado a desafíos por parte de la tecnología y la comunidad.
La Jefa de Seguridad de MetaMask, Taylor Monahan, dijo que los hackers de Bybit han movido al menos 209,384 ETH (~$480 millones) a Bitcoin, en un mensaje a The Block. Eso representa más de la mitad de los aproximadamente 400,000 ETH tomados de la plataforma, sin incluir los otros tokens drenados.
Al menos $240 millones de esta cantidad fueron blanqueados usando THORchain, según Arkham Intelligence, que está rastreando las billeteras digitales vinculadas al grupo de hackers. La criptomoneda robada ha sido "principalmente intercambiada por BTC nativo", dijo Arkham en una publicación en X.
El viernes pasado, Arkham Intelligence dijo que el Grupo Lazarus de Corea del Norte había pirateado Bybit por más de $1.5 mil millones, citando información proporcionada por el detective en línea ZachXBT.
El Buró Federal de Investigaciones ha confirmado desde entonces que el hackeo fue perpetrado por los maliciosos actores de Corea del Norte conocidos como "TraderTraitor", que incluye al Grupo Lazarus.
“Los actores de TraderTraitor están procediendo rápidamente y han convertido algunos de los activos robados a Bitcoin y otros activos virtuales dispersados en miles de direcciones en múltiples blockchains”, dijo el FBI en su anuncio. “Se espera que estos activos sean más blanqueados y eventualmente convertidos a moneda fiduciaria."
Según expertos en seguridad de Ethereum, el hackeo de $1.5 mil millones ha sido más difícil de rastrear de lo habitual. Lazarus es conocido por dividir fondos y usar múltiples protocolos para mover fondos, pero este exploit en particular implica miles de transacciones separadas.
“Así es como se ve el seguimiento del hackeo de Bybit”, dijo el investigador anónimo SomaXBT en X, expresando la complicada naturaleza de los fondos divididos. “[Esto es] solo un seguimiento de 2 saltos (10 ETH cada uno). Mi Mac Air se está quemando literalmente para cargar esas transacciones.”
En total, los hackers drenaron más de 400,000 ETH (~$1.1 mil millones en ese momento), 90,000 stETH, 15,000 cmETH y 8,000 cETH en el ataque. Sin embargo, no está claro cuánto ETH poseen actualmente los hackers, ya que algunos de los activos, incluidos $43 millones en mETH, han sido congelados.
Intercambios de ThorChain
Monahan de Metamask estima que los hackers han movido al menos 161,490 ETH (valorados en $370 millones a precios actuales) utilizando 3,934 transacciones de puente distintas a ThorChain en las últimas 115 horas desde que ocurrió el hackeo. Eso representa la mayoría de los 209,384 ETH totales que ella cree que se han movido a Bitcoin, le dijo a The Block.
“Eso son $3,229,800 por hora”, dijo.
Parece que Lazarus está usando dos puentes no custodios principales.
En cuanto al ataque, ThorChain y eXch antes mencionados fueron atacados. Sin embargo, eXch, conocido principalmente por sus laxos controles de KYC, parece haber deshabilitado los intercambios de ETH y tokens ERC-20, limitando la capacidad de los hackers para mover fondos hacia bitcoin.
El miércoles, el CEO de Bybit anunció que la plataforma ofrecería una recompensa del 5% a los intercambios, puentes y mezcladores que ayuden a congelar los fondos asociados con el ataque. Esta es una extensión de la recompensa del 10% que Bybit ofreció inicialmente a cualquiera que pudiera devolver los fondos. No está claro si eXch ha recibido una recompensa hasta la fecha de prensa.
De los 161,490 ETH confirmados que han pasado por la plataforma de intercambio intercadenas ThorChain, los hackers han utilizado una variedad de herramientas blockchain para moverse, incluyendo Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet, entre otras, según datos de blockchain.
ThorChain registró su mayor volumen de operaciones en un solo día el miércoles, con más de $737 millones en intercambios de tokens.
"Todo viene de los hackers de Lazarus", dijo el usuario de ThorChain @diplo en X. "Pero a quién le importa realmente, es una victoria para TC. La única preocupación es qué sucederá con el precio una vez que estos intercambios se detengan. BTC está sangrando en este momento, si no fuera por esto, creo que no estaríamos por encima de $1 en este momento".
La moneda nativa de ThorChain, RUNE, ha cotizado a un precio máximo por encima de $1.60 desde el hackeo, un máximo reciente, pero lejos de un máximo por encima de $10 en 2024 y su máximo histórico de $19.30, según la página de datos de The Block.
"Que ThorChain no esté haciendo nada para detener el movimiento del ETH robado a través de su plataforma no va a terminar bien", dijo @AirdropGlideapp en X. "Es curioso cómo una persona puede cerrar ThorFi en 2 minutos, pero cuando se trata de detener a Corea del Norte lavando miles de millones de dólares en Ethereum a través de ThorChain, ¡de repente es imposible hacer algo al respecto!"
¿Detener los flujos?
Según varias publicaciones en X, ha habido divisiones internas con respecto a los flujos relacionados con Lazarus. A principios del jueves, tres validadores votaron en contra de las transacciones relacionadas con el hackeo de Bybit, lo que aparentemente detuvo temporalmente los flujos. Sin embargo, "la votación se revirtió en cuestión de minutos" debido al mecanismo de consenso extremadamente descentralizado detrás de ThorChain que preserva la opción de los validadores, explicó un usuario.
De manera destacada, el desarrollador principal pseudónimo de THORChain "Pluto" ha abogado por abordar este lavado de dinero onchain antes de anunciar su renuncia al proyecto. TCB, uno de los tres validadores que votaron para detener el comercio de ETH en THORChain, también dijo que ha estado luchando por encontrar formas de evitar el lavado de dinero de Corea del Norte.
"Cuando la gran mayoría de sus flujos son fondos robados de Corea del Norte para el mayor robo de dinero de la historia humana, se convierte en un problema de seguridad nacional, esto ya no es un juego", dijo TCB en X, añadiendo que ThorChain no es "lo suficientemente descentralizado" como para sobrevivir a un ataque regulatorio. "La comunidad de TC tiene creencias sólidas basadas en lo que aprenden de aeme.
mensajes que están desconectados de la realidad de las personas que han estado llevando a cabo la ejecución en primera línea."
Inmediatamente después de vaciar la billetera fría de Bybit, Lázaro movió los fondos robados a tres direcciones de "distribución" separadas: 0xB4a, 0x23Ob y 0x83E, y luego los dividió en docenas de direcciones recién creadas. El grupo también intercambió derivados de ETH como stETH y cETH por ETH utilizando los exchanges descentralizados Uniswap, Paraswap y KyberSwap.