Hackers da Coreia do Norte Associados ao Roubo de $305 Milhões em Bitcoin da DMM, Confirmam Autoridades

O FBI, a Agência Nacional de Polícia do Japão e o Centro de Crimes Cibernéticos do Departamento de Defesa identificaram hackers ligados à Coreia do Norte como os responsáveis por um ataque cibernético de $305 milhões à bolsa de criptomoedas DMM Bitcoin do Japão em maio de 2024.

Uma declaração conjunta emitida em 23 de dezembro atribui a violação ao grupo de ameaças TraderTraitor, também conhecido como Jade Sleet, UNC4899 e Slow Pisces.

Hacker News explica que o TraderTraitor, ativo desde pelo menos 2020, é conhecido por atacar empresas Web3 através de aplicativos de criptomoedas contaminados por malware. O grupo frequentemente emprega campanhas de engenharia social temáticas de emprego ou finge colaborar em projetos no GitHub para implantar pacotes npm maliciosos e facilitar o roubo.

As autoridades revelaram que a violação do DMM Bitcoin partiu de um ataque de engenharia social à Ginco, uma empresa japonesa de software de carteira cripto. Em março, um operador norte-coreano se passando por um recrutador do LinkedIn compartilhou um script Python malicioso disfarçado de teste pré-emprego com um funcionário da Ginco.

Quando o funcionário copiou o script para sua conta pessoal do GitHub, isso expôs dados sensíveis de cookies de sessão, permitindo ao hacker se passar pelo funcionário e infiltrar-se no sistema de comunicação da Ginco.

Em maio, o agente de ameaça utilizou seu acesso para manipular uma solicitação de transação legítima de um funcionário da DMM Bitcoin, roubando, ao final, 4.502,9 BTC, avaliados em $305 milhões.

A empresa de inteligência blockchain Chainalysis corroborou as descobertas, explicando como os invasores exploraram vulnerabilidades na infraestrutura para desviar fundos.

Eles lavaram a criptomoeda roubada através de endereços intermediários, um serviço de mistura de Bitcoin CoinJoin e serviços de ponte antes de transferi-la para a HuiOne Guarantee, um mercado online ligado ao Grupo HuiOne do Camboja, um conhecido facilitador de crimes cibernéticos.

Finance Feeds informa que a DMM Bitcoin anunciou planos para encerrar as operações, chegando a um acordo com a SBI VC Trade, a divisão de criptomoedas do gigante financeiro japonês SBI Group, para transferir seus ativos e contas de clientes até março de 2025.

Finance Feeds ainda observa que a DMM Bitcoin esclareceu que, enquanto os ativos sob custódia estão sendo transferidos para SBI, as posições de negociação alavancada não estarão incluídas. Os clientes devem liquidar todas as posições abertas antes da transferência. A bolsa confirmou que encerrará suas atividades uma vez que a transferência esteja concluída.

Essa revelação destaca os riscos contínuos de cibersegurança no setor Web3, com o TraderTraitor permanecendo como uma ameaça persistente que visa o cenário global de criptomoedas.