Sulle cripto rubate, i nordcoreani, i ponti cross-chain e Lazarus Group.

Una delle tendenze più preoccupanti relative ai crimini in ambito crittografico, è il rilevante aumento dei fondi rubati dai protocolli DeFi grazie all’utilizzo dei cosiddetti “cross chain bridges

Gran parte del valore rubato ai protocolli DeFi può essere attribuito ad attori malevoli riconducibili alla Corea del Nord, in particolare unità di hacking d’élite come Lazarus Group.

Un recente rapporto di Chainalysis stima che nel 2022 i gruppi legati alla Corea del Nord abbiano rubato circa l’equivalente di 1 miliardo di dollari in criptovaluta dai protocolli DeFi.

Proprio in questi giorni, le autorità competenti di diversi Stati, grazie al supporto di Chainalysis, hanno sequestrato l’equivalente di oltre 30 milioni di dollari in criptovaluta, sottratti dagli hacker nordcoreani.

La notizia è sicuramente interessante poiché è la prima volta nella storia dei sequestri di cripto, che vengono colpiti gruppi criminali nord-coreani, da tempo caratterizzatisi per la loro competenza, rapidità e pericolosità.

Il tutto nasce da una indagine che Chainalysis ha condotto a seguito del furto di oltre 600 milioni di dollari nel marzo 2022 da Ronin Network, una sidechain creata per il gioco play-to-earn Axie Infinity. I sequestri eseguiti rappresentano circa il 10% dei fondi totali rubati da Axie Infinity

Al di là della news di sicuro interesse, è particolarmente utile analizzare le informazioni che la stessa Chainalysis ha potuto ora rendere pubbliche in relazione alle tecniche di tracciamento adottate.

Innanzitutto apprendiamo che l’attacco è iniziato quando Lazarus Group ha ottenuto l’accesso a cinque delle nove chiavi private detenute dai validatori di transazioni per il ponte cross-chain di Ronin Network. Hanno usato la maggioranza disponibile per approvare due transazioni, entrambi prelievi: una per 173.600 ether (ETH) e l’altra per 25,5 milioni di USD Coin (USDC).

Da qui hanno avviato il processo di riciclaggio e solo dopo Chainalysis ha potuto avviare il processo per rintracciare i fondi.

Il riciclaggio di questi fondi si è basato, almeno fino ad oggi, su oltre 12.000 diversi wallet, il che dimostra le capacità di riciclaggio altamente sofisticate degli hacker.

La tipica tecnica di riciclaggio DeFi del gruppo Coreano può quindi essere distinta sostanzialmente in cinque fasi:

– Ether rubato inviato a portafogli intermediari

– Ether miscelato in lotti usando Tornado Cash

– Ether scambiato con bitcoin

– bitcoin mescolati in lotti

– bitcoin depositati su servizi exchange da criptovaluta a fiat per il prelievo

Lazarus Group ha replicato questo processo anche su una rilevante parte dei fondi rubati di Ronin.

Qui di seguito riproduciamo l’immagine di Chainalysis Reactor:

Fonte: Chainalysis

L’Office of Foreign Assets Control (OFAC) del Tesoro degli Stati Uniti ha recentemente applicato delle misure nei confronti di Tornado Cash per il suo apparente ruolo nel riciclaggio di un importo equivalente ad oltre 455 milioni di dollari in criptovaluta, rubata da Axie Infinity.

Al di la delle giuste considerazioni fatte in relazione all’azione svolta nei confronti di Tornado Cash (da molti ritenuta, non a torto, decisamente al di là dei poteri conferiti all’OFAC), l’azione ha comunque sortito i suoi effetti poiché Lazarus Group si è allontanato dal popolare mixer Ethereum.

Il risultato però si è dimostrato scarsamente efficace poichè il gruppo Coreano è passato immediatamente ad altri servizi DeFi tramite il cosiddetto “Chain Hop”, o passando da diversi tipi di criptovalute in un’unica transazione.

Ciò detto, appare evidente come i ponti svolgano un’importante funzione per spostare le risorse digitali tra le differenti chains e la maggior parte dell’utilizzo di queste piattaforme è del tutto legittimo.

Lazarus sembra utilizzare i ponti nel tentativo di oscurare la fonte dei fondi ma con gli strumenti messi a disposizione da Chainalysis questi movimenti di fondi tra catene sembrerebbero tracciabili.

Qui di seguito l’immagine di Chainalysis Storyline per ritrarre un esempio di come Lazarus Group ha utilizzato il “chain hopping” per riciclare alcuni dei fondi rubati da Axie Infinity:

Fonte: Chainalysis

Sopra, vediamo che l’hacker ha collegato ETH dalla blockchain di Ethereum alla catena BNB e poi ha scambiato quell’ETH con USDD, che è stato poi collegato alla catena BitTorrent.

Lazarus Group ha effettuato centinaia di transazioni simili su diverse blockchain per riciclare i fondi rubati da Axie Infinity, oltre al riciclaggio più convenzionale basato su Tornado Cash di cui abbiamo parlato sopra.