Grupo Lazarus lavó 200 millones de dólares en dinero fiat tras 25 hackeos de criptomonedas

• El grupo de hackers Lazarus Group, vinculado al gobierno de Corea del Norte, hackeó a 25 empresas y personas relacionadas con activos virtuales entre agosto de 2020 y octubre de 2023, y robó un total de 200 millones de dólares
• Se trata de un grupo de hacking conocido por usar malware personalizado para cada objetivo
• Se estima que desde 2017 hasta la fecha ha robado entre 3.000 y 4.100 millones de dólares mediante hackeos de criptoactivos
• Este artículo rastrea sus rutas de lavado de dinero y analiza cómo los fondos robados se convirtieron en efectivo a través de los exchanges P2P Paxful y Noones

Principales incidentes de 2020

Hackeo a CoinBerry (agosto)

• El exchange canadiense CoinBerry sufrió el robo de 120 BTC por un bug de software (con un valor de 3,7 millones de dólares en ese momento).

Hackeo a Unibright (septiembre)

• Tras la filtración de una clave privada, se transfirieron sin autorización activos por alrededor de 400.000 dólares desde la wallet del equipo de Unibright.

Hackeo a CoinMetro (octubre)

• Un incidente de seguridad permitió el robo de criptoactivos por unos 750.000 dólares desde la hot wallet de CoinMetro.
• El equipo de Parsiq hizo un hard fork del token PRQ para evitar daños adicionales.

Hackeo en diciembre de 2020 al fundador de Nexus Mutual, Hugh Karp

• Fue engañado para aprobar una transacción maliciosa y le robaron 370.000 NXM (8,3 millones de dólares).
• Después de depositar 137,1 BTC en el mezclador de Bitcoin ChipMixer, los fondos volvieron a ingresar en Ethereum.
• También depositó 2.571 ETH en Tornado Cash desde Ethereum y luego los retiró de inmediato.

Hackeo en abril de 2021 al fundador de EasyFi, Ankitt Gaur

• Ankitt instaló una extensión maliciosa de Metamask a través de un correo de phishing, se filtró su clave privada y le robaron 81 millones de dólares.
• Depositó 209,64 BTC en ChipMixer, los retiró y los reingresó en Ethereum a través del protocolo Ren.
• Los fondos se depositaron en Binance en junio de 2022.

Hackeo a Bondly Finance en julio de 2021

• Tras filtrarse la frase de recuperación de la hardware wallet del CEO Brandon Smith, se robaron 8,5 millones de dólares en activos del equipo.
• Lavaron 52 millones de DAI, 500 ETH y 4.800 BNB usando Tornado Cash en Ethereum, BSC y Polygon.

Hackeos personales no reportados entre agosto y septiembre de 2021

• Entre agosto y septiembre, varias personas sufrieron la filtración de sus claves privadas y en total les robaron unos 2 millones de dólares.
• Se depositaron 581 ETH en Tornado Cash y se retiraron días después.

Hackeos a MGNR y PolyPlay en octubre de 2021

Hackeo a MGNR

• Mientras miembros del equipo compartían temporalmente la clave de una hot wallet en una PC personal, se robaron alrededor de 24 millones de dólares.
• Se depositaron 5.100 ETH en Tornado Cash, luego se retiraron por etapas y se mezclaron con fondos de otros hackeos.
• Se convirtieron en efectivo a través de Paxful y Noones.

Hackeo a PolyPlay

• Se transfirieron sin autorización unos 1,6 millones de dólares desde la wallet del equipo.
• Se depositaron 350 ETH en Tornado Cash, luego se retiraron y se enviaron a Paxful y Noones.

Hackeo a bZx en noviembre de 2021

• Un desarrollador ejecutó un archivo adjunto de correo con un script malicioso, se filtró una clave privada y se robaron 55 millones de dólares del protocolo desplegado en BSC y Polygon.
• Se depositaron 10.960 ETH en Tornado Cash, luego se retiraron y se mezclaron con fondos de hackeos anteriores.

Hackeos a Steadefi y Coinshift en agosto de 2023

Hackeo a Steadefi

• Un desarrollador abrió un archivo de presentación malicioso recibido desde una cuenta de Telegram que se hacía pasar por una firma de inversión, lo que permitió el robo de la wallet del deployer y el traspaso al hacker de la propiedad de los vaults de préstamos y estrategias. Se robaron alrededor de 1,2 millones de dólares.
• Se depositaron 624,3 ETH en Tornado Cash.

Hackeo a Coinshift

• Se observaron transferencias repentinas de fondos desde una wallet multisig vinculada al fundador, por lo que se sospecha una filtración de clave privada.
• Se depositaron 900 ETH en Tornado Cash.

Conversión a efectivo de fondos robados a través de los exchanges P2P Paxful y Noones

• Entre julio de 2022 y noviembre de 2023, ingresaron en direcciones de depósito de Paxful y Noones un total de 44 millones de dólares en USDT.
• Dos cuentas de Paxful y Noones mostraron volúmenes de transacción acordes al tamaño de los montos robados.
• Como no se observaron retiros equivalentes de criptomonedas desde esos exchanges, se estima que los USDT fueron cambiados por transferencias bancarias o efectivo.

Resultados de la investigación

• Hasta noviembre de 2023, Tether había puesto en lista negra 374.000 USDT, y en el cuarto trimestre de 2023 se congeló en un exchange un monto no revelado.
• Tres de cuatro emisores de stablecoins pusieron en lista negra fondos por un valor de 3,4 millones de dólares.

Otros incidentes relacionados

• Hackeo a usuarios de exchange en enero de 2021
• Hackeo a Arthur0x en marzo de 2022
• Hackeos a Geracoin y Darshan entre septiembre y octubre de 2022
• Hackeo al fundador de Maverick en octubre de 2023

Opinión de GN⁺

• Al realizar ataques selectivos contra distintos protocolos y personas, y luego pasar por un sofisticado proceso de lavado de fondos, se estima que se trata de un grupo de hackers con un alto nivel de organización y capacidad técnica.
• A medida que aumentan los casos de abuso dentro del ecosistema de activos virtuales, se requiere mayor alerta en la gestión de claves privadas y frente a ataques de phishing.
• Este caso muestra que las finanzas descentralizadas y los mezcladores de criptomonedas pueden ser usados para lavado de dinero. Parece urgente preparar regulación y contramedidas al respecto.
• Dado que el gobierno de Corea del Norte podría seguir usando el hackeo de criptoactivos como medio para obtener fondos, se necesita cooperación entre la industria y las autoridades.
• Los proyectos de criptomonedas y las personas deben reforzar la gestión de sus wallets mediante firmas múltiples y el uso de cold wallets, y tener cuidado con correos y archivos adjuntos sospechosos.