El grupo de hackers norcoreano Lazarus es presuntamente responsable del robo de 622 millones de dólares del mes pasado a Ronin Network, una sidechain de Ethereum utilizada por el criptojuego Axie Infinity.
La conexión se ha revelado hoy cuando el Departamento del Tesoro de los Estados Unidos anunció que ha añadido una nueva dirección de wallet de Ethereum a su lista de sanciones para el Grupo Lazarus. Es la misma wallet que el creador de Axie Infinity, Sky Mavis, nombró como atacante de Ronin a finales de marzo.
CoinDesk informó por primera vez de la noticia. Un vistazo al explorador de carteras de Ethereum Etherscan muestra la etiqueta "Ronin Bridge Exploiter" para la cartera.
Sky Mavis ha reconocido desde entonces la conexión en una actualización de su post original sobre el exploit Ronin. Las empresas de análisis de blockchain Chainalysis y Elliptic han afirmado igualmente que la wallet que aparece hoy en la lista negra del Tesoro de Estados Unidos es la misma que se utilizó en el exploit de Ronin.
El FBI ha etiquetado a Lazarus como una "organización de hacking con patrocinio estatal", y sus primeros ataques se remontan a 2009. Lazarus es supuestamente responsable del ataque de ransomware WannaCry de 2017, la violación de Sony Pictures de 2014 y una serie de ataques a empresas farmacéuticas en 2020.
"No es nada sorprendente que este ataque se haya atribuido a Corea del Norte", escribió Elliptic en una entrada de su blog. "Muchas características del ataque reflejaron el método utilizado por Lazarus Group en ataques anteriores de alto perfil, incluida la ubicación de la víctima, el método de ataque (que se cree que involucró la ingeniería social) y el patrón de lavado utilizado por el grupo después del evento."
El ataque a la red Ronin tuvo lugar el 23 de marzo, cuando el puente que conectaba Ronin con la mainnet de Ethereum fue atacado utilizando llaves privadas hackeadas, que son claves criptográficas utilizadas para firmar transacciones. Las claves hackeadas se utilizaron para aprobar la transferencia de fondos de cinco de los nueve nodos validadores activos en Ronin.
En total, el atacante robó 173.600 WETH o Wrapped Ethereum y 25,5 millones de USDC, que en conjunto tenían un valor de unos 622 millones de dólares cuando se descubrió y reveló el hackeo el 29 de marzo. Es el segundo mayor hackeo de DeFi hasta la fecha en función del valor (552 millones de dólares) de los activos cuando se produjo el ataque.
En las semanas posteriores, Sky Mavis anunció una ronda de financiación de 150 millones de dólares liderada por Binance para ayudar a reembolsar a los usuarios afectados por el ataque. Sky Mavis también recurrirá a su propio balance para garantizar que los usuarios puedan retirar sus fondos, pero en última instancia espera recuperar los fondos robados en los próximos dos años.
Elliptic informa de que el 18% de los fondos robados han sido blanqueados hasta la fecha enviándolos a varias plataformas de intercambio de criptomonedas, así como a través de Tornado Cash, un servicio impulsado por contratos inteligentes que mezcla las transacciones para dificultar su rastreo. La billetera todavía tiene 147,753 ETH, que vale alrededor de 444 millones de dólares al momento de escribir este artículo.
Nota del editor: Esta historia se actualizó después de la publicación para proporcionar detalles adicionales sobre el hackeo de Ronin e incluir respuestas de Sky Mavis, Chainalysis y Elliptic.