O “golpe do século”. É assim que está a ser descrito o ataque informático realizado pelo grupo norte-coreano “Lazarus” que, no final de fevereiro, desviou 1,5 mil milhões de dólares da plataforma de negociação de criptomoedas Bybit – o maior ataque à indústria dos ativos digitais de sempre. Em questão de minutos, os “hackers” apoiados pelo governo de Kim Jong-un conseguiram contornar um sistema sofisticado com grande precisão, transferindo milhares de ethers – a segunda criptomoeda mais utilizada do mundo – para uma série de contas que pouco rasto deixaram.

Mais de um mês depois do ataque, o El País faz a autópsia do crime. Os analistas contactados pelo jornal espanhol não têm dúvidas: a escala e sofisticação do ataque está ao alcance de poucos. “O golpe à Bybit mostrou um nível de sofisticação extremamente elevado por parte do ‘Lazarus'”, explica Hervé Lambert, diretor de operações globais da Panda Security, ao El País. Mas como é que tudo aconteceu?

Ben Zhou, CEO da plataforma, estava a realizar uma série de transferências rotineiras entre uma carteira de criptoativos fria (que não está conectada à internet, como é o caso de uma pen) e uma quente (com ligação à rede), quando o golpe aconteceu. Os “hackers” intercetaram estas interferências e redirecionaram as criptomoedas para uma série de contas na sua posse. Tudo através de um ataque à plataforma Safe{Wallet}, que gere a carteira da Bybit, num ataque conhecido no meio como um “supply chain attack”.

O grupo de “hackers” conseguiu assumir o controlo do computador de um dos programadores da plataforma e inserir um “malware” no sistema da Safe{Wallet}. Assim que Ben Zhou pressionou o botão “enviar”, o software malicioso foi ativado e rapidamente conseguiu desviar todas as transferências. “Imediatamente após a conclusão da transação, os ‘hackers’ apagaram os rastos do ataque. Tudo aconteceu com tal rapidez e subtileza que, quando a Bybit detetou a interceção, já era demasiado tarde: as ether já eram controlados pelo ‘Lazarus’“, explicou ainda Lambert ao El País.

Embora o uso de “hackers” por parte de vários regimes do mundo não seja, propriamente, uma novidade, a relação destes cibercriminosos com o governo de Kim Jong-un ganha contornos especiais. O regime norte-coreano vê nas criptomoedas uma grande fonte de capital para financiar uma série de projetos, onde se incluem os seus planos nucleares. Desde 2021, o portal especializado TRM Labs calcula que o “Lazarus” conseguiu desviar mais de cinco mil milhões de dólares em criptomoedas – um número que representa metade dos fluxos de moedas estrangeiras que chegam à nação asiática.