Investigadores de criptomoedas estão levantando alarmes após $3,2 milhões serem drenados de várias wallets Solana em 16 de maio de 2025, que dizem ter as características do grupo Lazarus vinculado à Coreia do Norte. Os ativos roubados foram rapidamente vendidos na cadeia e transferidos para Ethereum antes que parte deles fosse lavada através do Tornado Cash.
Em 16 de maio, os endereços Solana da vítima foram esvaziados de tokens, e os ativos foram então convertidos para Ethereum através de uma ponte antes que parte deles fosse depositada no Tornado Cash.
O pesquisador de blockchain ZachXBT sinalizou publicamente a exploração, traçando paralelos com atividades anteriores do Lazarus.
Os hackers transferiram os fundos roubados através de uma ponte
Investigadores de blockchain levantaram o alarme pela primeira vez após observar grandes transferências do endereço “C4WY…e525” na Solana.
Essas transações, ligadas ao notório grupo Lazarus, envolveram mover os tokens roubados através de uma ponte e convertê-los em Ethereum. ZachXBT sinalizou o ataque monitorando a atividade da ponte e rastreando fundos que acabaram em uma rede de wallets no Ethereum.
Em 25 de junho e novamente em 27 de junho, 400 ETH foram enviados para o Tornado Cash em dois depósitos separados. Essas transações de 800 ETH, totalizando aproximadamente $1,6 milhão, alinham-se com as táticas de lavagem bem documentadas do grupo Lazarus.
Após hacks de alto perfil como o da Bybit, onde $1,5 bilhão foi roubado em fevereiro de 2025, e $100 milhões da ponte Horizon da Harmony em 2022, entre outros hacks notáveis, o Lazarus tem repetidamente utilizado o Tornado Cash, juntamente com exchanges descentralizadas e pontes entre cadeias, para lavar fundos ao ofuscar trilhas de transação.
Aproximadamente $1,25 milhão ainda reside em um endereço de wallet identificado como “0xa5…d528” no Ethereum, mantido em uma combinação de DAI e ETH. Analistas especulam que esses fundos podem estar estacionados para lavagem futura ou serem mantidos intencionalmente dormentes para mitigar o risco de detecção.
O grupo Lazarus está ativo desde 2017
O grupo Lazarus ganhou reputação como a organização de cibercrime vinculada ao estado mais prolífica, com sanções da Coreia do Norte designando-os como uma Ameaça Persistente Avançada ligada às unidades de inteligência militar de elite de Pyongyang. Ao longo dos anos, eles roubaram bilhões em criptomoedas desde 2017.
Seu modus operandi geralmente começa com phishing ou infiltração baseada em malware de pessoal chave, explorando falhas em contratos inteligentes ou vulnerabilidades de wallets. Uma vez obtidos os fundos, eles são rapidamente convertidos em ativos líquidos, divididos em várias wallets e lavados entre cadeias usando mixers como o Tornado Cash e serviços que oferecem trocas instantâneas sem requisitos de Conheça seu Cliente (KYC).
O Tornado Cash continua a ser central na estratégia de lavagem de dinheiro do Lazarus. Embora sanções dos EUA tenham sido impostas em 2022, a hospedagem descentralizada e a imutabilidade permitiram que o serviço evitasse um desligamento permanente. Em janeiro de 2025, um tribunal de apelações dos EUA reverteu essas sanções, citando considerações de liberdade de expressão, apesar das evidências crescentes ligando o Lazarus ao uso contínuo de mixers.
Reguladores e exchanges agora podem tomar medidas para marcar os endereços sinalizados como suspeitos. No entanto, com a velocidade e complexidade do pipeline de lavagem de dinheiro do Lazarus, os serviços de mixing continuam a se mostrar suficientes para ocultar o movimento de seus fundos roubados.
Suas notícias de criptomoedas merecem atenção - a KEY Difference Wire coloca você em mais de 250 sites de destaque
