Carteira Cripto sancionada vinculada a hackers norte-coreanos continua lavando

Uma suposta carteira Ethereum norte-coreana vinculada ao hack de US$ 600 milhões em Cripto em março continua a lavar seu ether (ETH) roubado na sexta-feira, desafiando as sanções dos EUA.

Os na lista negraendereçoque as autoridades dos EUA dizem ser controlado pelo grupo de hackers de elite “Lazarus” da Coreia do Norteenviado 2.915 ETH (cerca de US$ 8,8 milhões) para os faxineiros esta manhã, horário de Nova York, um dia depois de autoridades federais listadoem seu banco de dados de sanções.

Fazendo uma breve PIT em um lugar novo e não autorizado carteira, sua Cripto rapidamente passou pelo popular misturador de moedas Tornado Cash, onde o rastro esfriou.

Foi uma continuação do que um especialista em rastreamento disse ao CoinDesk ser uma estratégia de lavagem de força bruta adaptada para velocidade – mesmo às custas de parte do tesouro. Um mês após drenar a Ronin Bridge de mais de US$ 600 milhões em Cripto, os hackers estão empurrando seu tesouro através do Tornado Cash, cerca de US$ 10 milhões por vez.

Rastreamento da empresa Elliptic na quinta-feiraestimadoos hackers do Ronin lavaram US$ 80 milhões por meio do Tornado Cash. As transações da manhã de sexta-feira provavelmente adicionam pelo menos outros US$ 8 milhões a essa quantia. Não está claro quanto o Lazarus pode lavar com sucesso para seus próprios propósitos.

Livro aberto

O livro-razão de transações transparente do Ethereum revela o gambito.

Nos últimos 10 dias, o endereço “Ronin Bridge Exploit” enviou lotes multimilionários de ETH para carteiras intermediárias para processamento por meio do Tornado Cash. Ele se move rápido, depositando 100 tranches de ETH no Tornado Cash em questão de horas e abandonando as quantias relativamente pequenas que restaram.

Leia Mais: Tornado Cash adiciona ferramenta Chainalysis para bloquear carteiras sancionadas pela OFAC de Dapp

Pouco depois da mistura da manhã de sexta-feira, Tornado Cashtweetou ele usa um feed de dados da Chainalysis para “bloquear endereços sancionados pelo [Escritório de Controle de Ativos Estrangeiros] de acessar o dapp”.

O CoinDesk não conseguiu confirmar quando a integração do oráculo foi ao ar. De qualquer forma, ela afeta apenas o front-end do Tornado Cash, o que significa que usuários experientes ainda podem interagir com os contratos inteligentes que alimentam o serviço descentralizado. A carteira primária T tentou mover fundos pelo Tornado Cash desde aquele tweet, mas os operadores da carteira sancionada parecem enviar fundos apenas uma vez por dia.

Nenhum dos fatos faria muita diferença para a lavagem de dinheiro de Lazarus. Chainalysis adicionado uma carteira – o endereço sancionado “Ronin Bridge Exploit” – para seu serviço oracle gratuito ontem, e não os endereços intermediários que os hackers estão usando.

Um representante da Chainalysis disse que a empresa fornece ferramentas de conformidade mais abrangentes com seus produtos pagos. Fontes familiarizadas com o Tornado Cash não responderam. Um fundador do Tornado Cash disse no Twitter sexta-feira que a Chainalysis T entrou em contato com ele sobre a oferta paga.

O Departamento do Tesouro dos EUA disse que a carteira estava vinculada ao Lazarus Group na quinta-feira, mas o FBI não confirmou até mais tarde naquele dia que autoridades federais acreditavam que o grupo de hackers norte-coreano era diretamente responsável por comprometer a ponte Ronin vinculada ao Axie Infinity.

“Por meio de nossa investigação, pudemos confirmar que o Lazarus Group e o APT38, atores cibernéticos associados à RPDC, são responsáveis ​​pelo roubo de US$ 620 milhões em Ethereum relatado em 29 de março”, informou o FBI. disse em uma declaração.