A Ripple está agora a partilhar com a Crypto ISAC, o grupo de partilha de ameaças da indústria, a sua informação interna sobre agentes de ameaça norte-coreanos, depois de a falha de 285 milhões de dólares na Drift, em abril, ter revelado uma mudança na metodologia dos atacantes, que abandonaram os exploits em smart contracts em favor de ciclos longos de engenharia social. Somada ao exploit de 292 milhões de dólares na bridge Kelp, também atribuído ao Lazarus Group, as perdas de abril ligadas a operacionais norte-coreanos ultrapassaram os 577 milhões de dólares num único mês — e, em ambos os casos, não houve qualquer exploit on-chain.
Por que razão importa
A vaga de furtos em DeFi de 2022–2024 centrava-se no código: os atacantes descobriam bugs em smart contracts e esvaziavam protocolos em minutos. A vaga atual centra-se nas pessoas. Operacionais candidatam-se a empregos em empresas de cripto, passam verificações de antecedentes, aparecem em chamadas Zoom e constroem confiança durante meses antes de desplegar malware que leva consigo chaves privadas. Quando os fundos se movem, nenhum controlo de segurança tradicional tem algo a sinalizar — porque o atacante já estava lá dentro, credenciado como contratante.
A contribuição da Ripple para a Crypto ISAC é o tecido conjuntivo que torna esse padrão legível através das empresas: perfis no LinkedIn, endereços de email, localizações e números de contacto que permitem a uma equipa de segurança reconhecer o candidato que acabou de entrevistar como o mesmo operacional que falhou verificações de antecedentes noutras três empresas na mesma semana. "A postura de segurança mais forte em cripto é uma postura partilhada", publicou a Ripple no X. "Um agente de ameaça que falha uma verificação de antecedentes numa empresa vai candidatar-se a mais três na mesma semana. Sem inteligência partilhada, cada empresa parte do zero."
Impacto no mercado
O alcance do Lazarus Group é agora suficientemente visível para redesenhar processos judiciais. Na segunda-feira, um advogado que representa vítimas de terrorismo norte-coreano entregou notificações de restrição à Arbitrum DAO, argumentando que os 30.765 ETH congelados após o exploit na bridge Kelp são propriedade norte-coreana ao abrigo da lei de execução norte-americana. O protocolo de empréstimo Aave respondeu em apoio da Arbitrum, defendendo que "um ladrão não adquire a propriedade legal de bens roubados simplesmente por os tomar."
Se a partilha de inteligência ao nível da indústria abranda efetivamente as campanhas é a questão em aberto.
Perguntas frequentes
-
A partilha de inteligência ao nível da indústria vai efetivamente abrandar o Lazarus Group?
A questão está em aberto. Dados de perfil partilhados podem ajudar as empresas a rejeitar operacionais mais depressa, mas os mesmos operacionais podem já estar a ser entrevistados noutros locais — e as perdas de abril sugerem que o custo do falhanço é agora de centenas de milhões por incidente.
CoinDesk