Más de 30 millones de dólares en criptomonedas presuntamente robadas por hackers conectados con el gobierno de Corea del Norte han sido incautados por las agencias de aplicación de la ley, según un informe de la empresa de investigación de cadenas de bloques Chainalysis.
Los fondos originalmente formaban parte de los más de $600 millones robados de la popular plataforma de finanzas descentralizadas (DeFi) Ronin Network en marzo. Ronin Network es la base de Axie Infinity, un juego de cadena de bloques de juego para ganar que es muy popular en Filipinas, Vietnam y varios otros países asiáticos.
En abril, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU. atribuyó el hackeo , uno de los mayores robos de DeFi de la historia, al notorio grupo de hackers de Corea del Norte conocido como Lazarus .
El grupo ha desviado lentamente alrededor de 3000 ETH , más de $ 9 millones, cada dos o tres días de la cantidad que se robó inicialmente, según los investigadores de blockchain de PeckShield. Los fondos se envían repetidamente a Tornado Cash, un mezclador de criptomonedas que permite a las personas ocultar el origen de los fondos.
El jueves, la directora senior de investigaciones de Chainalysis, Erin Plante, dijo que se unió a los desarrolladores detrás del juego en una conferencia para anunciar que se habían incautado decenas de millones de dólares de los hackers de Corea del Norte con la ayuda de las fuerzas del orden y organizaciones líderes en la industria de las criptomonedas.
La compañía no respondió a las solicitudes de comentarios sobre qué agencias participaron en la incautación, por qué solo se incautó $ 30 millones y cuándo ocurrió la incautación.
Pero en una publicación de blog , Plante dijo que la incautación “marca la primera vez que se incauta una criptomoneda robada por un grupo de hackers de Corea del Norte”.
“Confiamos en que no será el último”, agregó Plante.
Cubriendo las pistas
Los hackers usaron Tornado Cash para mezclar el éter robado con otra criptomoneda y lo convirtieron todo en Bitcoin, que se lavó por segunda vez antes de convertirse en moneda fiduciaria.
La OFAC incluyó a Tornado Cash en la lista negra hace un mes por su papel en ayudar a los hackers a lavar los fondos robados de Axie. Uno de los desarrolladores detrás del servicio fue arrestado por las autoridades holandesas hace tres semanas .
Plante dijo que una vez que ya no pudieron usar el servicio mezclador, Lazarus Group de Corea del Norte comenzó a aprovechar varios servicios DeFi para “saltar en cadena”, un proceso que describió como cuando los hackers cambian entre varios tipos diferentes de criptomonedas en una sola transacción.
“Los puentes cumplen una función importante para mover activos digitales entre cadenas y la mayor parte del uso de estas plataformas es completamente legítimo”, explicó Plante. “Lazarus parece estar usando puentes en un intento de ocultar la fuente de fondos”.
Los hackers supuestamente “realizaron cientos de transacciones similares en varias cadenas de bloques para lavar los fondos que robaron de Axie Infinity, además del lavado más convencional basado en Tornado Cash”.
Plante señaló que una parte significativa de los fondos robados de Axie Infinity permanecen sin gastar en billeteras de criptomonedas bajo el control de los hackers.
En abril, el director general de Binance, Changpeng Zhao , dijo que la plataforma de criptomonedas congeló 5,8 millones de dólares en fondos del robo de la red Ronin.
Corea del Norte y la incautación de fondos
El gobierno de EE. UU. y varias organizaciones de investigación han señalado repetidamente a Lazarus Group como el mayor culpable de una serie de ataques a los protocolos DeFi en los últimos dos años.
Plante dijo que las estimaciones de Chainalysis muestran que en 2022, los grupos vinculados a Corea del Norte robaron aproximadamente mil millones de dólares en criptomonedas de los protocolos DeFi.
Juliane Gallina, subdirectora adjunta de la dirección de innovación digital de la CIA, dijo a una audiencia en la conferencia de seguridad cibernética de Billington el jueves que Corea del Norte gasta aproximadamente $ 700 millones en su programa de armas nucleares, casi todo lo cual está cubierto a través de sus hacks de criptomonedas.
La incautación de criptomonedas robadas durante los ataques o pagadas en rescates después de los ataques de ransomware es una táctica que el gobierno de los EE. UU. ha estado usando silenciosamente con más frecuencia para ayudar a las víctimas.
El Departamento de Justicia hizo olas el año pasado cuando anunció que recuperó la gran mayoría de los 4,3 millones de dólares que Colonial Pipeline pagó a una banda de ransomware.
En julio, la fiscal general adjunta Lisa Monaco dijo que el Departamento de Justicia incautó y devolvió alrededor de $500,000 pagados a un grupo de ransomware conectado con el gobierno de Corea del Norte después de dos ataques a instalaciones de atención médica de EE. UU. el año pasado.
Adam Hickey, subsecretario de justicia adjunto del Departamento de Justicia, elogió el trabajo del gobierno para aprender a “recuperar los frutos del crimen donde sea que podamos”.
“Cuando las víctimas acuden a nosotros en las primeras etapas de un ataque de ransomware y comparten información con nosotros sobre a qué billetera enviaron un rescate, eso puede permitirnos recuperar ese rescate en el futuro como lo hicimos en el caso de Colonial Pipeline y dinero robado de intercambios de criptomonedas, como lo hemos hecho en algunos casos recientes”, dijo Hickey en la conferencia de Billington.
“Recuperar el dinero ahora es parte de lo que podemos hacer”.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.