O FBI confirmou que o recente roubo de US$ 1,5 bilhão da corretora de criptomoedas Bybit foi orquestrado por hackers norte-coreanos ligados ao grupo Lazarus, em uma operação que comprometeu a infraestrutura da Safe{Wallet}. O ataque, que já é o maior roubo de criptomoedas da história, envolveu uma sofisticada brecha na cadeia de suprimentos, permitindo que os criminosos acessassem e desviassem fundos da exchange. A investigação apontou que o grupo responsável pelo ataque pertence ao cluster de ameaças rastreado pelo FBI como TraderTraitor, também conhecido como Jade Sleet, Slow Pisces e UNC4899.
Esses hackers são conhecidos por explorar vulnerabilidades no setor Web3, enganando vítimas para que instalem aplicativos maliciosos de criptomoedas ou participem de entrevistas falsas de emprego que servem como isca para ataques. Segundo o FBI, os atacantes já começaram a converter os fundos roubados para Bitcoin e outras criptomoedas em milhares de endereços espalhados por múltiplos blockchains, um processo que facilita a lavagem do dinheiro digital e sua eventual conversão em moeda fiduciária. A TraderTraitor já havia sido identificada em um ataque anterior, quando roubou US$ 308 milhões da DMM Bitcoin, em maio de 2024. A suspeita é que os criminosos tenham obtido acesso à conta AWS S3 ou CloudFront da Safe{Wallet}, permitindo que alterassem o código legítimo do serviço.
A Safe{Wallet} confirmou que o ataque foi possível devido à comprometimento da máquina de um desenvolvedor, resultando na proposta de uma transação maliciosa disfarçada. O método utilizado é característico do Lazarus Group, que emprega engenharia social e exploits zero day para roubar credenciais de desenvolvedores. Além disso, novas análises revelaram que a Lazarus Group registrou um domínio falso, “bybit-assessment[.]com”, poucas horas antes do ataque, sugerindo que a operação foi meticulosamente planejada. O e-mail usado no registro já foi vinculado a outros golpes do grupo, incluindo a campanha Contagious Interview, na qual vítimas são enganadas em entrevistas falsas de emprego no LinkedIn, permitindo a infecção de seus sistemas com malwares.
