Gli hacker di Lazarus, rubano dal bridge Ronin, 540 milioni di dollari

Il 29 marzo, il Ronin Network ha annunciato che 173.600 Ether (ETH) e 25,5 milioni di dollari erano stati rubati dal bridge Ronin sei giorni prima.

Il valore totale delle criptovalute rubate al momento del furto era di 540 milioni di dollari. Di fatto questo è il secondo più grande furto di criptovalute di tutti i tempi. 

Il 14 aprile, l’Office of Foreign Assets Control (OFAC) del Tesoro statunitense ha annunciato nuove sanzioni contro l’indirizzo Ethereum del criminale e ha indicato il proprietario di questo indirizzo come Lazarus Group, il gruppo national state nordcoreano.

Le sanzioni vietano a persone ed entità statunitensi di effettuare transazioni con questo indirizzo per garantire che il gruppo sponsorizzato dallo stato non possa incassare ulteriori fondi che continuano a trattenere tramite scambi di criptovalute con sede negli Stati Uniti. 

L’incidente è avvenuto sei giorni prima che l’exploit fosse annunciato da Ronin. 

Tra la confusione per la risposta ritardata, è stato annunciato che l’exploit è stato scoperto solo dopo che un tentativo di prelievo di 5.000 ETH da parte di uno dei suoi utenti è fallito. Al momento della scoperta, i fondi rubati valevano oltre 615 milioni di dollari.

Come si è svolto l’hack

Secondo l’analisi forense pubblicata da Ronin, il furto sarebbe avvenuto a seguito dell’hacking dei “nodi validatori” del bridge Ronin da parte di un aggressore.

I fondi possono essere spostati se cinque dei nove validatori lo approvano. L’attaccante è riuscito a impossessarsi delle chiavi crittografiche private appartenenti a cinque di questi validatori, sufficienti per rubare i criptoasset. L’analisi forense afferma che

“tutte le prove indicano che questo attacco ha sfruttato il social engineering , piuttosto che un difetto tecnico“.

Riciclaggio delle criptovalute rubate

La società Elliptic ha indicato che l’attaccante è riuscito a riciclare il 18% dei fondi rubati a partire dal 14 aprile. 

Innanzitutto, l’USDC rubato è stato scambiato con ETH tramite scambi decentralizzati (DEX) per impedirne il sequestro. I token come le stablecoin sono controllati dai loro emittenti, che in alcuni casi possono bloccare i token coinvolti in attività illecite.

Convertendo i token presso i DEX, l’hacker ha evitato i controlli antiriciclaggio (AML) e “know your customer” (KYC) eseguiti presso le borse centralizzate. 

Questa è una tattica sempre più comune negli hack di questo tipo, come descritto nel recente rapporto di Elliptic: DeFi: Risk, Regulation, and the Rise of DeCrime. 

Tuttavia, l’attaccante ha quindi iniziato a riciclare 16,7 milioni di dollari in ETH attraverso tre scambi centralizzati. Questa strategia è rara per i tipici exploit DeFi, dati gli obblighi AML di questi scambi, sebbene sia stata osservata più spesso in precedenti exploit afferenti al gruppo Lazarus. 

Quando gli scambi interessati hanno annunciato pubblicamente che avrebbero collaborato con le forze dell’ordine per stabilire l’identità, l’attaccante ha cambiato la propria strategia di riciclaggio per utilizzare invece Tornado Cash, un popolare mixer basato su contratti intelligenti sulla blockchain di Ethereum. 

Le transazioni in corso hanno finora inviato ETH per un valore di 80,3 milioni di dollari tramite Tornado Cash. 

L’attività blockchain dell’attaccante mostra che altri 9,7 milioni di dollari di ETH si trovano in portafogli intermedi pronti per essere riciclati, molto probabilmente anche attraverso Tornado Cash. 

Ciò lascia un considerevole 433 milioni di dollari rimanenti nel portafoglio originale dell’attaccante.

Gli investigatori di Elliptic stanno monitorando questi fondi rubati e hanno etichettato gli indirizzi associati a questo aggressore nei loro sistemi, assicurando che i clienti vengano avvisati se ricevono uno di questi fondi.

Targeting da parte di Lazarus Group 

Lazarus Group si riferisce a un gruppo di hacker nordcoreani che prendono di mira entità crittografiche almeno dal 2017.

Fino al 2021, la maggior parte di questa attività era diretta verso scambi centralizzati situati in Corea del Sud o altrove in Asia. Tuttavia, nell’ultimo anno l’attenzione del gruppo si è rivolta ai servizi DeFi. Mentre il servizio che è stato attaccato in questo caso – il bridge di Ronin Network – è decentralizzato, i creatori della rete Sky Mavis si trovano in Vietnam. 

Non sorprende che questo attacco sia stato attribuito alla Corea del Nord. Molte caratteristiche dell’attacco rispecchiavano il metodo utilizzato da Lazarus Group in precedenti attacchi di alto profilo, inclusa la posizione della vittima, il metodo di attacco (che si crede abbia coinvolto l’ingegneria sociale) e il modello di riciclaggio utilizzato dal gruppo dopo l’evento. 

Molti tecnici ritengono che le criptovalute rubate da Lazarus Group vengano utilizzate per finanziare i programmi statali per i missili nucleari e balistici. Con i recenti rapporti secondo cui la Corea del Nord potrebbe prepararsi di nuovo per i test nucleari, l’attività sanzionatoria di oggi sottolinea l’importanza di garantire che Lazarus Group non sia in grado di riciclare con successo i proventi di questi attacchi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.