Com o início do julgamento de Sam Bankman-Fried, conhecido como SBF, o hacker associado ao ataque à FTX no ano passado começou a agir. Conforme noticiou o CriptoFácil, o invasor aproveitou a distração com o julgamento para movimentar diversos fundos roubados no ataque.
Essa medida deu a entender que o hacker não queria chamar a atenção, mas aparentemente não obteve sucesso. Isso porque a empresa de segurança em blockchain Elliptic encontrou uma conexão entre o hacker e a Rússia. Ou seja, o hacker possivelmente é russo ou tem alguma ligação com o país.
Em 11 de novembro de 2022, a FTX entrou com pedido de falência. No entanto, a exchange sofreu um ataque no mesmo dia, onde um hacker roubou cerca de US$ 470 milhões. A ação poderia ter causado mais danos, mas funcionários da FTX salvaram o restante dos fundos e impediram mais roubos.
Russos estariam por trás do ataque?
O hacker deixou a maior parte dos fundos inativa em uma carteira. Mas nesta semana, o invasor decidiu mover cerca de 65.000 Ether (ETH), o que corresponde a cerca de R$ 500 milhões. De acordo com o Etherscan, o invasor utilizou o serviço RenBridge para trocar os ETH por Bitcoin (BTC) e tentar ocultar a origem dos fundos.
A RenBridge é uma plataforma de transações cross-chain, ou seja, que permite a troca de criptomoedas entre blockchains diferentes. Nesta operação, o hacker conseguiu converter os Ether em 4.536 Bitcoins. Em seguida, o invasor utilizou mixers para obter outros 2.849 BTC. Além disso, ele ainda enviou US$ 4 milhões em criptomoedas diretamente para exchanges.
Investigando essas transações, a Elliptic afirmou que um ator ligado à Rússia parece o autor mais provável deste ataque. Ao verificar as transações, a Elliptic identificou que uma parte substancial dos fundos roubados estava misturada com fundos de organizações criminosas afiliadas à Rússia.
Nesse grupo estão coletivos de ransomware e mercados da Deep Web, o que sugere o potencial envolvimento de um intermediário com ligações à Rússia.
É importante destacar que uma parcela significativa dos fundos roubados ficou inativa por vários meses, tornando-se ativa pouco antes do início do julgamento de SBF. Isto contrasta com a norma típica em que se sabe que os criminosos esperam anos para transferir e liquidar suas criptomoedas, esperando o interesse público sobre o ataque diminuir.
Possíveis suspeitos
Em sua pesquisa mais recente, a Elliptic levantou suspeitas sobre os funcionários da FTX que ajudaram a salvar parte dos fundos da empresa. Dadas as circunstâncias caóticas que rodearam a falência e queda da exchange, a Elliptic considera alta a chance do invasor também ser um funcionário.
O próprio SBF é outra pessoa sob suspeita, mas a Elliptic reconheceu que o seu acesso limitado à Internet impediria qualquer tentativa de roubo. Na época, especulou-se que ele estava por trás das ações, mas não há provas de seu envolvimento.
A Elliptic também indicou que as práticas de segurança negligentes da FTX podem ter facilitado o roubo. O atual CEO da FTX revelou que as chaves privadas, que o hacker obteve da empresa, não possuíam proteção adequada. Além disso, um ex-funcionário revelou que mais de US$ 150 milhões foram retirados da Alameda Research devido a medidas de segurança inadequadas.
Além disso, a utilização do mixer Sinbad no roubo também sugere envolvimento do Grupo Lazarus, da Coreia do Norte, que utiliza esse mixer. No entanto, os métodos utilizados pelo hacker para mover os ETH roubados, segundo a Elliptic, são menos sofisticados do que os métodos do famoso grupo.
- Leia também: Tether nomeia Paolo Ardoino como novo CEO