Coreia do Sul investiga o grupo Lazarus no hack de $30M da exchange Upbit

TLDR

• As autoridades sul-coreanas suspeitam que o Grupo Lazarus da Coreia do Norte orquestrou o hack da Upbit em 27 de novembro que roubou 30,4 milhões de dólares em ativos cripto.
• A Upbit suspendeu depósitos e saques após detetar levantamentos não autorizados de tokens Solana da sua hot wallet, marcando a segunda grande violação da exchange em seis anos.
• O hack de 2025 usou táticas semelhantes à violação da Upbit pelo Lazarus em 2019, envolvendo credenciais de administrador comprometidas ou falsificadas em vez de ataques diretos ao servidor.
• O hack ocorreu no mesmo dia em que a empresa-mãe da Upbit, Dunamu, anunciou uma fusão com o gigante tecnológico Naver, levando a especulações sobre o timing.
• Os dados da blockchain mostram que os fundos roubados foram trocados por USDC e transferidos para Ethereum usando técnicas de mistura comuns às operações do Lazarus.

As autoridades sul-coreanas estão a investigar o Grupo Lazarus como a provável fonte por trás de um hack de 30,4 milhões de dólares na Upbit, a maior exchange de criptomoedas do país. A violação ocorreu em 27 de novembro quando a exchange detetou atividade de levantamento incomum em tokens baseados em Solana.

A Upbit suspendeu imediatamente todos os serviços de depósito e saque após identificar as transações não autorizadas. A exchange inicialmente relatou perdas de 54 mil milhões de won coreanos, ou aproximadamente 36,8 milhões de dólares, mas posteriormente reviu este valor para 44,5 mil milhões de won, ou 30,4 milhões de dólares.

Esta marca a segunda grande violação de hot wallet para a Upbit em seis anos. A exchange sofreu anteriormente um hack em novembro de 2019 quando atacantes roubaram 342.000 ETH.

A polícia sul-coreana concluiu no ano passado que o Lazarus foi responsável por esse roubo de 2019. As semelhanças entre os dois ataques levantaram suspeitas sobre a última violação.

Métodos de Ataque Espelham a Violação de 2019

De acordo com funcionários do governo citados pela Agência de Notícias Yonhap, os hackers provavelmente comprometeram contas de administrador ou se passaram por administradores para autorizar as transferências. Esta abordagem espelha as táticas usadas no ataque de 2019, em vez de visar diretamente os servidores da exchange.

As autoridades sul-coreanas estão a preparar uma inspeção no local da Upbit com base na crescente confiança de que o Lazarus orquestrou o roubo. Especialistas em segurança observaram que a Coreia do Norte enfrenta escassez contínua de moeda estrangeira, fornecendo um potencial motivo para o ataque.

O fornecedor de análise de blockchain Dethective rastreou os fundos roubados após a violação. Os dados mostram que uma carteira ligada ao hacker trocou tokens Solana por USDC e começou a transferir fundos para Ethereum.

Os atacantes usaram técnicas de mistura para lavar os ativos roubados. Estes métodos são táticas conhecidas empregadas pelo Grupo Lazarus em roubos cripto anteriores.

Timing Levanta Questões

O hack ocorreu no mesmo dia em que a Naver Financial confirmou uma fusão com a Dunamu, empresa-mãe da Upbit. A Naver Financial anunciou em 27 de novembro que integraria a Dunamu como sua subsidiária integral.

A empresa afirmou que a fusão visa garantir o impulso de crescimento futuro baseado em ativos digitais. O timing do hack junto com este grande anúncio corporativo alimentou especulações sobre se foi deliberado.

Um especialista em segurança disse à Yonhap que os hackers frequentemente procuram mostrar suas capacidades. O especialista sugeriu que os atacantes podem ter escolhido especificamente o dia 27 de novembro para coincidir com o anúncio da fusão.

O Grupo Lazarus tem sido ligado a numerosos roubos cripto de alto perfil ao longo dos anos. O grupo opera sob a direção da Coreia do Norte e tem visado exchanges em todo o mundo para gerar receita para o regime.

A Upbit não forneceu detalhes adicionais sobre a violação ou sua investigação. A exchange continua a trabalhar com as autoridades para rastrear os fundos roubados e prevenir mais perdas.

O post Coreia do Sul Investiga Grupo Lazarus em Hack de $30M na Exchange Upbit apareceu primeiro no CoinCentral.