Venus Protocol, uma plataforma descentralizada de empréstimos financeiros, recuperou com sucesso US$ 13,5 milhões em criptomoedas roubadas de um usuário através de um ataque de phishing sofisticado atribuído ao Grupo Lazarus da Coreia do Norte. A recuperação ocorreu dentro de 12 horas após o incidente de terça-feira por meio de protocolos de emergência coordenados e intervenção de parceiros de segurança.
O que saber:
- Venus Protocol pausou toda a plataforma após parceiros de segurança detectarem atividade suspeita minutos após o ataque de phishing
- Os atacantes usaram um cliente Zoom malicioso para enganar a vítima Kuan Sun a conceder controle de conta, permitindo empréstimos e resgates não autorizados
- Um voto de governança de emergência permitiu a liquidação forçada da carteira do atacante, enviando tokens roubados para um endereço de recuperação
Resposta rápida evita perda total
O ataque começou quando os autores enganaram a vítima por meio de um aplicativo Zoom comprometido. Este software malicioso concedeu aos atacantes controle delegado sobre a conta do usuário na plataforma Venus Protocol.
As empresas de segurança HExagate e Hypernative identificaram os padrões de transações suspeitas em minutos após a execução. Sua rápida detecção desencadeou a decisão do Venus Protocol de pausar imediatamente as operações da plataforma como medida de precaução. A interrupção impediu a movimentação adicional de fundos enquanto os pesquisadores analisavam a violação.
Venus Protocol confirmou que tanto seus contratos inteligentes quanto a interface do usuário permaneceram seguros durante todo o incidente. A infraestrutura central da plataforma não mostrou sinais de comprometimento durante as auditorias de segurança realizadas após o ataque.
Governança de emergência permite recuperação
Administradores da plataforma iniciaram um voto de governança de emergência para lidar com a crise. Este processo democrático permitiu que o Venus Protocol autorizasse a liquidação forçada da carteira digital do atacante. A medida de emergência permitiu que as equipes de recuperação apreendessem os ativos roubados e os redirecionassem para um endereço de recuperação seguro.
A vítima Kuan Sun expressou gratidão pelo esforço coordenado de resposta.
"O que poderia ter sido um desastre total se transformou em uma batalha que realmente vencemos, graças a um grupo incrível de equipes", afirmou Sun em comentários públicos após a recuperação.
Várias organizações contribuíram para o resultado bem-sucedido. PeckShield, Binance e SlowMist prestaram assistência técnica adicional durante o processo de recuperação. Sua expertise combinada foi crucial para rastrear e recuperar os ativos de criptomoeda roubados.
Compreendendo o método de ataque
O esquema de phishing se baseou em táticas de engenharia social em vez de vulnerabilidades técnicas nos sistemas do Venus Protocol. Os atacantes convenceram Sun a baixar e instalar uma versão modificada do popular software de videoconferência Zoom.
Este aplicativo malicioso continha código oculto que concedia acesso não autorizado às contas de criptomoedas de Sun. Uma vez instalado, o software comprometido permitiu aos atacantes executar transações em nome de Sun sem autorização direta. Os perpetradores então drenaram sistematicamente stablecoins e ativos convertidos das participações da vítima.
A análise forense de SlowMist confirmou posteriormente a conexão do ataque com o Grupo Lazarus. A investigação da empresa de segurança cibernética revelou assinaturas táticas consistentes com operações norte-coreanas anteriores. "SlowMist realizou uma análise extensiva e foi uma das primeiras a apontar que o Lazarus estava por trás deste ataque", reconheceu Sun.
O portfólio criminoso do Grupo Lazarus
O Grupo Lazarus opera como um coletivo de hackers patrocinado pelo Estado sob o aparato de inteligência da Coreia do Norte. Agências de segurança internacionais atribuíram inúmeros roubos de criptomoedas de alto perfil a esta organização nos últimos anos.
Operações anteriores do Grupo Lazarus incluem o exploit da ponte Ronin de $600 milhões e o hack da exchange Bybit de $1,5 bilhão. Esses incidentes representam alguns dos maiores roubos de criptomoedas na história da indústria. Os métodos sofisticados do grupo e o apoio estatal os tornam uma ameaça persistente para plataformas de ativos digitais em todo o mundo.
Especialistas em segurança observam que hackers norte-coreanos geralmente visam plataformas de criptomoedas para contornar sanções econômicas internacionais. Os ativos digitais roubados fornecem à nação isolada moeda forte para várias atividades estatais.
Termos principais explicados
Plataformas de finanças descentralizadas como o Venus Protocol operam sem intermediários bancários tradicionais. Os usuários interagem diretamente com contratos inteligentes—programas automatizados que executam transações quando condições específicas são atendidas. Essas plataformas geralmente oferecem serviços de empréstimo, empréstimo e negociação por meio da tecnologia blockchain.
Stablecoins são criptomoedas projetadas para manter valores estáveis em relação a ativos de referência como o dólar americano.
Ativos convertidos representam criptomoedas tradicionais como Bitcoin que foram convertidas para uso em diferentes redes blockchain. Ambos os tipos de ativos foram destaque nesta tentativa de roubo.
Votos de governança de emergência permitem que usuários e partes interessadas da plataforma tomem decisões rápidas durante situações de crise. Este mecanismo democrático permite respostas rápidas a ameaças de segurança sem esperar por períodos de votação padrão.
Pensamentos finais
O incidente do Venus Protocol demonstra tanto as vulnerabilidades quanto as capacidades de proteção dentro de sistemas de finanças descentralizadas. Enquanto atacantes sofisticados executaram com sucesso seu esquema inicial de phishing, a rápida detecção e esforços de resposta coordenados evitaram perdas permanentes. O cronograma de recuperação de 12 horas define um precedente positivo para futuros incidentes de segurança no espaço das criptomoedas.