Escrutínio coreano intensifica-se sobre o papel da Binance no congelamento de fundos do hack da Upbit

Reguladores e analistas sul-coreanos estão a analisar a reação da Binance ao hack da Upbit enquanto procuram melhores proteções globais contra roubos de criptomoedas rápidos.

Binance congelou apenas uma fração dos fundos do hack da Upbit

De acordo com os investigadores, apenas 17% dos ativos sinalizados para congelamento pela Upbit e pela polícia foram efetivamente bloqueados, relatou a mídia local na sexta-feira. Além disso, analistas de segurança disseram que o grupo de hackers executou uma estratégia de lavagem elaborada na manhã de 27 de novembro, espalhando rapidamente os ativos roubados por mais de mil carteiras.

Os atacantes repetidamente dividiram os fundos em porções menores e moveram-nos através de múltiplas cadeias. Também recorreram a pontes de tokens e trocas para obscurecer o seu rasto on-chain. No entanto, as autoridades disseram que a maioria dos ativos lavados acabou por chegar às carteiras de serviço na Binance, sublinhando o papel fundamental das grandes exchanges centralizadas na resposta a incidentes.

A Upbit e a polícia solicitaram um congelamento imediato de aproximadamente 470 milhões de won (cerca de $370.000) em Solana confirmados como tendo chegado à exchange. Dito isto, a Binance congelou apenas 80 milhões de won (cerca de $75.000), afirmando que necessitava de verificação adicional antes de impor restrições mais amplas aos fundos.

A ação limitada foi confirmada por volta da meia-noite do dia do incidente, aproximadamente 15 horas após o pedido original. Quando questionada pela emissora coreana KBS sobre o âmbito restrito e o atraso no congelamento, a Binance recusou-se a abordar detalhes específicos, citando a sua política sobre investigações ativas. A empresa disse apenas que "continua a cooperar com as autoridades relevantes e parceiros de acordo com os procedimentos apropriados", uma declaração que deixou muitos detalhes sem resposta.

Especialistas da Binance pedem mecanismos de congelamento global mais rápidos e coordenados

Essa explicação não satisfez vários especialistas na Coreia do Sul. Cho Jae-woo, diretor do Instituto de Pesquisa Blockchain da Universidade Hansung, argumentou que a intervenção rápida é essencial para minimizar as perdas dos utilizadores em ataques desta escala. Para prevenir danos de hacking, disse ele, um congelamento inicial rápido é vital, mas as exchanges frequentemente citam riscos de litígio como razão para hesitar.

Além disso, Cho sugeriu que a indústria deveria explorar o estabelecimento de uma linha direta de emergência global entre exchanges ou um órgão coordenado com poderes para impor congelamentos imediatos em situações de crise. Neste contexto, ele disse que uma resposta de congelamento da Binance mais padronizada e protocolos semelhantes em outras plataformas poderiam limitar significativamente os danos de futuros exploits cross-chain.

Os investigadores dizem que a maioria dos ativos roubados foram desde então convertidos de Solana para Ethereum. De acordo com a sua análise, esta mudança provavelmente visava melhorar a liquidez, dada a maior profundidade dos mercados do Ethereum e a maior disponibilidade de locais de negociação para o ativo.

Ferramentas de privacidade Railgun e lavagem através de cadeias

Analistas on-chain que rastreiam o hack da Upbit destacaram o uso do Railgun, um sistema de contrato inteligente focado em privacidade. Uma publicação amplamente compartilhada observou que "O hacker da Upbit está a lavar fundos através do Railgun e passou pela sua 'prova ZK de inocência'" e descreveu o mecanismo como um sistema automatizado que verifica se um endereço pertence a um bom ator usando múltiplos fornecedores de dados forenses.

No entanto, o mesmo comentário acrescentou que os utilizadores podem confiar no explorador do Railgun para verificar endereços, ilustrando como ferramentas de privacidade, provas de conhecimento zero e camadas de conformidade podem coexistir de forma complexa. Dito isto, o incidente também sublinha como a lavagem zk do railgun e ferramentas semelhantes podem complicar a aplicação quando os fundos se movem rapidamente entre cadeias e misturadores.

Os investigadores de segurança dizem que as táticas dos hackers, incluindo lavagem através de cadeias, trocas de tokens e saltos de ponte, tornaram o congelamento oportuno ainda mais crítico. Além disso, argumentam que sem uma melhor coordenação entre as principais exchanges, o rastreamento de fundos roubados da Solana depois de atingirem hubs de alta liquidez como a Binance ou outros locais continuará a ser desafiador.

Revisão do cold storage da Upbit após roubo de 44,5 mil milhões de won

Como relatado anteriormente, a Upbit está a transferir quase todos os ativos dos clientes para cold storage depois de hackers terem roubado 44,5 mil milhões de won (cerca de $30 milhões) da sua hot wallet de Solana. A violação provocou uma das respostas de segurança mais fortes até agora por uma grande exchange, com o operador Dunamu a acelerar uma revisão abrangente da custódia.

A Dunamu disse que a plataforma aumentará a sua proporção de cold wallet para 99% e reduzirá a exposição da hot wallet para efetivamente zero. Além disso, isto vai muito além do requisito legal da Coreia do Sul de que 80% dos fundos dos utilizadores sejam armazenados offline, posicionando o modelo da Upbit como um dos mais conservadores no mercado doméstico.

A exchange já mantinha 98,33% dos ativos em cold storage no final de outubro, o mais alto entre as plataformas locais. No entanto, a violação levou a gestão a aproximar-se ainda mais de um sistema totalmente baseado em cold storage. Em termos práticos, esta grande mudança para cold storage da Upbit foi concebida para limitar drasticamente a quantidade de criptomoedas acessíveis a atacantes online a qualquer momento.

Investigações do hack da Upbit, Binance e suspeitas do Grupo Lazarus

Entretanto, as autoridades sul-coreanas lançaram uma investigação formal sobre o hack da exchange Upbit. Relatórios locais citaram avaliações iniciais de inteligência que alegadamente conectam a intrusão ao Grupo Lazarus da Coreia do Norte, uma organização de cibercrime já ligada a vários grandes roubos de criptomoedas nos últimos anos.

No entanto, os oficiais ainda não divulgaram evidências públicas definitivas que apoiem as alegações do grupo Lazarus. Os investigadores continuam a rastrear fluxos de fundos em Solana e Ethereum, incluindo transferências através de ferramentas de privacidade, enquanto tentam construir uma imagem mais completa da operação e dos seus beneficiários finais.

Em resumo, o incidente da Upbit expôs lacunas críticas na coordenação global de exchanges, desde congelamentos atrasados até monitoramento cross-chain limitado. À medida que reguladores, exchanges e pesquisadores estudam as consequências, aumenta a pressão por mecanismos internacionais mais ágeis que possam interromper fundos roubados em minutos, não horas, quando ocorrer o próximo ataque cripto em grande escala.