Este fin de semana surgieron informes sobre el movimiento de los fondos robados en el ciberataque del bridge Horizon del Harmony Protocol el año pasado. De acuerdo con investigadores, el grupo detrás del exploit, Lazarous Group, depositó parte de los fondos, ofuscados en exchanges diferentes para ser intercambiados.
Varios investigadores dieron cuenta del movimiento de 41.000 ETH, que tuvo lugar el pasado 13 de enero, valorado en alrededor de 63,5 millones de dólares, el cual fue enviado a través de Railgun, antes de ser depositado en tres distintos Exchanges.
Railgun, es un Smart Contract que fue diseñado para usuarios DeFi, específicamente para añadir una capa de protección a la privacidad de las transacciones de criptomonedas, ocultando las transacciones para resguardar el origen de los fondos.
2/2 See the 350+ associated addresses here: https://t.co/IAXr9Opzfa
— ZachXBT (@zachxbt) January 15, 2023
De acuerdo con el investigador @ZachXBT, “Lazarus Group de Corea del Norte tuvo un fin de semana muy ocupado moviendo $63.5 millones (~ 41000 ETH) desde el puente Harmony hasta Railgun antes de consolidar fondos y depositar en tres intercambios diferentes”, en la cual se lograron recopilar más de 350 direcciones vinculadas al grupo cibercriminal.
Timeline of @harmonyprotocol Bridge Attack:
— MistTrack🕵️ (@MistTrack_io) January 16, 2023
1⃣ Harmony Bridge Hacked-> 6/23/22
2⃣ Hacker deposits 85,700 #ETH to TC 6/26/22 to 7/02/22
3⃣ Funds were mixed via Railgun 🔄-> 1/13/23 to 1/14/23
4⃣ Funds were deposited to exchanges 💸-> 1/13/23 to 1/14/23
Por su parte, la firma de seguridad SlowMist también detectó la actividad sospechosa, cuando el investigador @MistTrack_io, detalló en un hilo: “en un esfuerzo por ayudar en la investigación del ataque Bridge @harmonyprotocol, nuestro equipo ha compilado 350 direcciones maliciosas asociadas con este ataque en una hoja de Google y un tablero de Dune, ahora accesible al público”.
El monto en movimiento al final de la semana pasada, es apenas una pequeña parte en la recaudación total de Lazarus Group por robos tan solo en 2022, que asciendió a unos 620 millones de dólares y más de 2 mil millones de dólares de 2020 a la fecha.
Lazarus Group, anteriormente llamados «APT38», también conocidos como «Guardianes de la Paz» o de «Whois Team», es un grupo de ciberdelincuentes formado por un número desconocido de personas que están afiliados al gobierno de Corea del Norte, el cual patrocina sus incursiones delictivas.
Aunque no se sabe mucho acerca de Lazarus Group, sus ciberataques en todo el mundo, han sido golpes que han generado miles de millones de dólares en pérdidas en empresas en varios sectores, desde empresas energía, entretenimiento, bancos hasta empresas criptográficas y por supuesto, a una gran variedad de objetivos múltiples por la distribución de Ransomware.
Asimismo, Lazarus Group también fue responsable del exploit contra el bridge Ronin, que estaba conectado al popular juego en línea Axie Infinity en marzo del año pasado, cuando robaron la suma de 600 millones de dólares, el cual se convirtió en uno de los mayores ciberataques conocidos hasta la fecha.
2/ 0x address of the culprit below:https://t.co/VXO7s6FpIy
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Cómo se recordará, la red Harmony fue atacado el pasado 23 de junio de 2022, por un exploit que permitió acceder a más de 100 millones de dólares en criptomonedas a través del bridge Horizon, lo cual fue reconocido e informado en la cuenta oficial de Twitter de los desarrolladores.
“El equipo de Harmony identificó un robo que ocurrió esta mañana en el bridge Horizon por un monto aproximado de USD $100 millones. Hemos comenzado a trabajar con las autoridades nacionales y especialistas forenses para identificar al culpable y recuperar los fondos robados.”, dijeron los desarrolladores de la red en un tweet.
“El incidente del puente Horizon resultó en la pérdida de activos digitales por valor de USD $99.340.030,00 en aproximadamente 65.000 billeteras y 14 tipos de activos diferentes”, agregaron los desarrolladores.
Pero la semana pasada, Lazarus Group comenzó a mover parte de esos fondos robados del bridge de Harmony Protocol, para ser intercambiados en al menos tres Exchanges diferentes de acuerdo a los informes de los investigadores.
We detected Harmony One hacker fund movement. They previously tried to launder through Binance and we froze his accounts. This time he used Huobi. We assisted Huobi team to freeze his accounts. Together, 124 BTC have been recovered. CeFi helping to keep DeFi #SAFU! 🙏
— CZ 🔶 Binance (@cz_binance) January 16, 2023
Todavía se desconoce a que Exchanges fueron movidos los fondos, pero Changpeng “CZ” Zhao, CEO de Binance, señaló en un tuit, que los ciberdelincuentes habían intentado usar Binance para blanquear los fondos, aunque esta vez usaron Huobi.
“Detectamos movimiento de fondos de hackers de Harmony One. Previamente intentaron lavar a través de Binance y congelamos sus cuentas. Esta vez usó Huobi. Ayudamos al equipo de Huobi a congelar sus cuentas. En conjunto, se han recuperado 124 BTC. ¡CeFi ayuda a mantener DeFi #SAFU!”, dijo CZ en el tuit.
Tras la suspensión de las cuentas de los ciberdelincuentes y el congelamiento de 124 BTC que equivalen al cambio a más de 2.620.000 dólares, es poco probable que ciberatacantes hayan desistido de continuar con sus esfuerzos de alcanzar sus objetivos de intercambiar las criptomonedas robadas en otros exchanges.
No cabe duda que la cantidad congelada a Lazarus Group, no es representativo del monto robado por esta organización de cibercriminales, sin embargo, en la misma medida que este tipo de acciones se multipliquen, es más probable que sea más difícil para ellos lavar el dinero.