Cofundador da THORChain identificado como vítima em hackeamento de $1,2 milhões vinculado à Coreia do Norte

SourceCryptopolitan

12 de setembro de 2025 12:00

Uma carteira pessoal que supostamente pertence a um cofundador da THORChain foi comprometida, resultando na perda de mais de $1,2 milhões, segundo o rastreador de segurança Peckshield. O protocolo desmentiu relatos anteriores em plataformas sociais que afirmavam que a violação afetava toda a sua rede.

A plataforma de segurança Web3 ExVul Defender publicou no X na sexta-feira que o atacante começou a mover fundos há dois dias. Aparentemente, obtiveram liquidez inicial de um misturador antes de interagir com a rede THORChain, realizando suas primeiras transações às 06:41:47 AM UTC de quarta-feira.

Correção: Este incidente envolveu a exploração da carteira pessoal de um usuário, e não está relacionado com @THORChain. 🙏

— THORChain (@THORChain) 12 de setembro de 2025

No Etherscan, o endereço da carteira, em conjunto com a THORChain, emitiu três ofertas de recompensa dentro dos dois dias posteriores ao hackeamento, mas até agora, o atacante não respondeu.

ZachXBT: A vítima é JP, cofundador da THORChain

Respondendo ao post de alerta da PeckShield no X, o investigador de segurança blockchain ZachXBT identificou a vítima como John-Paul Thorbjornsen, também conhecido como JP, cofundador tanto da THORChain como da aplicação de carteira Vultisig.

A carteira provavelmente pertence a @jpthor, que teve uma carteira privada comprometida devido a uma fraude de reunião falsa há alguns dias.

JP é uma das pessoas que se beneficiou economicamente da lavagem de hackeos/explorações da RPDC.

Então é um pouco poético que tenha sido destruído aqui pela DPRK. pic.twitter.com/T57RRJ0bbf

— ZachXBT (@zachxbt) 12 de setembro de 2025

Segundo ZachXBT, a carteira pessoal de JP foi esvaziada de aproximadamente $1,35 milhões durante uma fraude de chamada de reunião no Telegram orquestrada por hackers norte-coreanos na terça-feira.

JP, e plataformas ligadas a ele, foram anteriormente relacionadas a benefícios financeiros provenientes de atividades de lavagem vinculadas a hackeamentos da Coreia do Norte, incluindo a exploração de $1.5 bilhões em tokens Ethereum realizada no final de fevereiro.

“JP é uma das pessoas que se beneficiou economicamente da lavagem de hacks e explorações da RPDC”, escreveu ZachXBT. “Então é um pouco poético que tenha sido destroçado aqui pela RPDC.”

Os registos blockchain de 9 de setembro revelam uma série de movimentos de fundos a partir do endereço do roubo, que podem ter sido uma tentativa de ocultar o rasto do dinheiro. A primeira transferência envolveu 6.233.015 tokens THORChain, que foram movidos da carteira comprometida há três dias.

Quase imediatamente depois, outra transação colocou 6,233,180 tokens em um endereço marcado como “Fake_Phishing1347722”, uma etiqueta associada à lavagem e ofuscação relacionadas com phishing.

Ainda dentro do dia, o atacante moveu 6.333.180 tokens através do THORChain, seguido por outros 6.333.333 tokens, possivelmente circulando grandes somas para diferentes direcções, juntamente com um pagamento menor de 1.250.000 tokens.

O maior grupo de fundos roubados, que ascende a 2.778.345 tokens, finalmente chegou ao protocolo Kyber, provavelmente trocado para criar camadas de separação da fonte original.

Atualmente, a maioria dos fundos roubados no valor de $1.218 milhões estão em 0x7abc09ab94d6015053f8f41b01614bb6d1cc7647, disse ZachXBT no seu canal de Telegram de investigações.

O THORChain beneficiou-se da lavagem do hack?

Dados da Arkham Intelligence mostram que os hackers por trás do ataque moveram pelo menos 209,384 ETH, avaliados em aproximadamente $480 milhões, para Bitcoin. Isso representou mais de 50% dos aproximadamente 400,000 ETH roubados.

Investigadores blockchain rastrearam cerca de $1.2 mil milhões em cripto ilícito, aproximadamente 85% dos fundos perdidos, movendo-se através do THORChain. Nos primeiros dias do incidente, pelo menos $240 milhões das receitas foram lavados através do THORChain e trocados por BTC, informou a Arkham.

Alguns concorrentes colaboraram com as autoridades para restringir transações suspeitas, mas os operadores da THORChain fizeram pouco ou nada para bloquear endereços, apesar de solicitações formais do FBI e outras agências. As aplicações de carteira construídas na rede, incluindo Asgardex e Vultisig, continuaram a processar a atividade sem interrupção.

Assinaturas de segurança blockchain sugeriram que os validadores da rede e desenvolvedores de carteiras, muitos dos quais são identificáveis publicamente e operam em jurisdições com requisitos rigorosos contra a lavagem de dinheiro, cobraram taxas de mais de $12 milhões por lavar os fundos.

“O protocolo continua a funcionar e a trocar apesar do caos. Na verdade, está a funcionar muito bem”, disse supostamente Thorbjornsen, defendendo as suas operações. Naquele momento, a THORChain registou o seu maior dia de operações, com mais de $737 milhões em tokens trocados através da rede.