This page is not intended for residents and citizens of Spain, Cuba, Bolivia, Venezuela and other Spanish-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Español
This page is not intended for residents and citizens of France, Canada and other French-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Français (Afrique)
Gate.ioBlogLazarus Hackers norte-coreanos_ O mestre por detrás do infame Ronin Hack
Lazarus Hackers norte-coreanos_ O mestre por detrás do infame Ronin Hack
12 May 18:11
No final de Março, a plataforma de jogos P2E, a rede Ronin da Axie Infinity, foi vítima de um ataque que a drenou de mais de 600 milhões de USD. O hack Ronin foi descrito como a maior exploração na história da DeFi. O Departamento do Tesouro dos EUA alegou que os hackers Lazarus da Coreia do Norte estavam por detrás da violação.
Esta não é a primeira vez que estes indivíduos foram ligados a um caso significativo de roubo cibernético. Durante a última década, os EUA arquivaram a culpa de vários assaltos similares aos hackers Lazarus. Isto, naturalmente, levanta a questão;
O que é o Grupo Lazarus?
Os hackers Lazarus são actores estatais pertencentes à República Popular Democrática da Coreia. Eles são um grupo de cibercriminalidade que conseguiu uma série de ataques sob a direcção do governo da Coreia do Norte. O grupo tem estado activo desde 2009 e ascendeu à fama em 2014, após comprometer a empresa de entretenimento Sony Pictures. Eles cresceram ainda mais notórios dois anos mais tarde, em 2016, quando atingiram o Banco Central do Bangladesh e ganharam cerca de 81 milhões de dólares.
Em 2021, a empresa de investigação Chainalysis atribuiu até 1.75B de criptografia roubada até agora às acções do sindicato do cibercrime, um número que sem dúvida aumentou significativamente desde então. Em 2020, o grupo Lazarus violou a troca de criptogramas KuCoin e fugiu com uma moeda virtual avaliada em $275 milhões, metade de todos os criptogramas roubados para esse ano.
Curiosamente, os hackers Lazarus não são alegadamente movidos por dinheiro, uma característica que os distingue de grupos semelhantes. Estes actores estatais roubaram informação sensível e fizeram sabotagem e várias outras acções para beneficiar a RPDC política ou economicamente.
Desde 2006, várias nações uniram-se para impor sanções à Coreia do Norte para refrear as suas ambições nucleares hostis e cortar o financiamento aos seus programas de armas de destruição maciça (ADM). Estas proibições impediram a exportação de vários artigos e impediram a RPDC de importar petróleo bruto e produtos petrolíferos refinados.
No entanto, num relatório ONU no início deste ano, os membros alegaram que a Coreia do Norte estava a financiar-se a si própria através de múltiplos ciberataques e pode ter acumulado até 400 milhões de dólares de activos criptográficos através destes piratas. A ONU terá analisado pelo menos 35 explorações de actores cibernéticos da RPDC em 17 países.
A exploração de Ronin é o maior assalto do Grupo Lazarus até à data. O ataque ao Banco Central do Bangladesh teria mantido este título como os hackers originalmente planeados para fugir com $1B.
Por um acaso, eles não tiveram sucesso, mas vamos dar uma olhada mais atenta ao hack que ocupa esta posição;
Detalhes do Ronin Exploit Sky Mavis, como é conhecida a equipa de desenvolvimento da plataforma, confirmou através do Tweet que a cadeia de bloqueio Ronin do Axie Infinity tinha sofrido uma quebra de segurança no dia 23 de Março. A ponte Ronin permite a interoperabilidade entre as cadeias na plataforma.
Os jogadores podem depositar moedas tais como ETH ou stablecoin USDC em troca de itens NFT na moeda dentro do jogo. Além disso, facilita a venda de activos dentro do jogo, permitindo aos utilizadores levantar fundos. Pouco tempo depois da exploração, os criadores pararam todas as transacções na rede. Os hackers tinham ganho com 173.600 Ethereum (cerca de $600 milhões) e 25.5 milhões USDC, totalizando um total de $625 milhões.
De acordo com um comunicado oficial , da equipa, os atacantes utilizaram chaves privadas comprometidas que lhes deram acesso aos nós de validação da rede. A cadeia de bloqueio Ronin compreende nove nós validadores; para completar uma transacção (depósito ou levantamento), 5 destes precisam de dar a sua aprovação. Os hackers tinham ganho o controlo de 4 dos validadores da rede e uma assinatura de validador de terceiros gerida pelo DAO do Axie.
Os actores maliciosos forjaram levantamentos falsos com as chaves privadas comprometidas e conseguiram o maior hack que o espaço criptográfico tem visto até agora.
Como a Rede Ronin foi comprometida É digno de nota que os desenvolvedores do Axie Infinity não descobriram o ataque até 29 de Março, 6 dias após a sua ocorrência. Um dos utilizadores da plataforma tinha tentado retirar 5k Ethereum da rede; no entanto, não o conseguiu fazer e assim apresentou um relatório à equipa.
De acordo com a libertação da Sky Mavis, o ponto de partida do ataque foi a partir de Novembro de 2021. A equipa precisava da ajuda do DAO Axie para distribuir transacções gratuitas após um afluxo maciço de utilizadores. O DAO permitiu (permitir a lista) que a Sky Mavis assinasse uma série de transacções em seu lugar.
Isto já não era necessário até ao final do ano; contudo, a equipa nunca cortou o acesso à lista de permissão. Com o RPC sem gás da plataforma, o atacante encontrou uma porta traseira para o sistema e a assinatura do DAO validador. Em seguida, eles procederam à drenagem da plataforma de mais de $600M.
Como é que a Sky Mavis reagiu?
O ataque chegou à atenção da equipa de desenvolvimento seis dias depois. No entanto, a Sky Mavis tomou medidas rápidas para mitigar os danos assim que se apercebeu. Vejamos algumas dessas medidas;
Para evitar futuras explorações, um dos primeiros movimentos que a equipa Axie Infinity fez foi aumentar o limiar de validação. Vários indivíduos que pesaram sobre o assunto questionaram porque é que a equipa o tinha fixado em 5 em primeiro lugar. Depois de aumentar o número para 9, a Sky Mavis esclareceu que a decisão inicial se devia ao facto de alguns nós não terem alcançado a corrente ou terem ficado presos no processo de sincronização.
Eles têm planos comuns para alargar o conjunto de validadores à medida que o tempo avança. Além disto, a Sky Mavis começou a migrar os nós para uma estrutura totalmente nova. A equipa também fechou temporariamente a ponte Ronin; no seu relatório, Sky Mavis observou que a reabririam assim que tivessem a certeza que os atacantes já não podiam roubar fundos.
Além disso, para estar no lado seguro, a plataforma de troca criptográfica Binance cortou a sua ligação à rede Ronin. A Sky Mavis contactou as equipas de segurança nas principais trocas e alistou Chainalysis para localizar o criptográfico roubado.
A equipa declarou que estava a trabalhar com os agentes da lei e garantiu aos utilizadores afectados que seriam reembolsados quer os fundos fossem ou não recuperados.
Como o FBI ligou os Lazarus Hackers ao Ronin Exploit
Há duas semanas, trabalhando ao lado do FBI, o Departamento do Tesouro dos EUA aplicou sanções em três endereços de carteira ligados ao Lazarus Group e APT38, apoiados pelo estado. A seguir, Chainalysis observou que um dos endereços sancionados tinha ligações com a carteira original utilizada no ataque.
Estas carteiras tinham recebido porções significativas dos fundos roubados, que as equipas de segurança tinham rastreado após a exploração. As investigações ainda estão em curso; de acordo com a Elliptic, os hackers lavaram cerca de 18% dos fundos roubados, enquanto $9,7 milhões dos fundos permanecem em carteiras intermediárias antes da lavagem.
Conclusão
Após o hack, chegou ao conhecimento público que a plataforma de jogos P2E Axie Infinity tem vindo a experimentar uma saída maciça de utilizadores. Alguns atribuíram a perda à recente exploração; contudo, os dados mostram que mesmo antes disso, os utilizadores activos diários da plataforma (DAU) tinham levado um mergulho de 8 milhões para um insignificante 1 em comparação.
Embora o hack possa não ser o factor principal, é inegável que tem desempenhado um papel desde então. O Axie Infinity provavelmente verá mais utilizadores a sair à medida que a confiança na plataforma diminui. No entanto, a Sky Mavis assegurou aos utilizadores o reembolso, e uma ronda de financiamento envolvendo investidores Binance, Animoca Brands, Paradigm e outros angariou 150 milhões de dólares.
O CEO do Binance, Changpeng "CZ" também partilhou num tweet que a troca tinha recuperado $5.8 milhões de fundos que o endereço da carteira do hacker tinha enviado. Em coordenação com o Departamento do Tesouro e várias instituições governamentais, o FBI manifestou a sua intenção de continuar a combater os métodos ilícitos da RPDC, a cibercriminalidade, etc.
Autor: Gate.io Observer M. Olatunji Declaração de isenção de responsabilidade: * Este artigo representa apenas a opinião dos observadores e não constitui qualquer sugestão de investimento. *Gate.io reserva-se todos os direitos sobre este artigo. A reedição do artigo será permitida desde que o Gate.io seja referenciado. Em todos os outros casos, serão tomadas medidas legais devido à violação dos direitos de autor.
This page is not intended for residents and citizens of Spain, Cuba, Bolivia, Venezuela and other Spanish-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Español
This page is not intended for residents and citizens of France, Canada and other French-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Français (Afrique)