Na análise pós-mortem do hack de US$ 1,5 bilhão da Bybit, duas organizações de pesquisa blockchain — Nansen e Chainalysis — revelaram a estratégia de lavagem de dinheiro do Lazarus Group, que inclui a troca de ativos ilíquidos por ativos líquidos, a criação de um rastro financeiro complexo e a manutenção de certas carteiras inativas para reduzir a atenção sobre os fundos roubados.

De acordo com a Nansen, a estratégia típica do Lazarus Group envolve primeiro a conversão de ativos ilíquidos em ativos mais fungíveis e, portanto, mais fáceis de movimentar. Após o hack da Bybit, os criminosos converteram pelo menos US$ 200 milhões em tokens em stake para Ether (ETH), que pode ser transferido com muito mais facilidade na blockchain.

Após essa conversão de ativos ilíquidos para líquidos, o processo de lavagem de dinheiro foi executado. Para criar confusão, o hacker utilizou uma rede de carteiras intermediárias para dificultar o rastreamento. De acordo com a Chainalysis, os fundos foram lavados por meio de exchanges descentralizadas, pontes cross-chain e até serviços de troca instantânea que não exigem verificação de identidade (KYC).

A maior parte do ETH foi eventualmente convertida em Bitcoin (BTC) e stablecoins, como Dai (DAI). Em alguns casos, analistas de blockchain conseguiram rastrear esses movimentos em tempo real. Isso permitiu que certas organizações que administram esses protocolos descentralizados, como a Chainflip, bloqueassem a tentativa dos criminosos de lavar os fundos roubados.

Ao longo do processo de lavagem, o hacker continuou dividindo os fundos roubados em pequenas quantias enviadas para um número crescente de carteiras. O primeiro “salto” dividiu os fundos de uma única carteira para 42 carteiras. O segundo “salto” distribuiu os fundos dessas 42 carteiras para milhares.

Até agora, o valor lavado do hack da Bybit representa apenas uma fração dos US$ 1,5 bilhão roubados. O Lazarus Group tem outra estratégia para evitar a atenção excessiva gerada por um roubo de grande escala: esperar. Algumas carteiras com dinheiro roubado — um total que atualmente chega a US$ 900 milhões — permaneceram inativas enquanto o grupo aguarda que o escrutínio diminua.

O hack de quase US$ 1,5 bilhão é maior do que todo o montante roubado pelo grupo em 2024 — US$ 1,3 bilhão ao longo de 47 ataques. Esse ataque se tornou o maior roubo de criptomoedas da história, o que fez com que a comunidade cripto se unisse em apoio à Bybit e contra os hackers. À medida que o Lazarus Group enfrenta um aumento na fiscalização, continua a se adaptar. Conforme relatado pelo Cointelegraph, sua estratégia de guerra cibernética continua sendo uma das mais lucrativas e sofisticadas do mundo.