Por dentro da ferramenta de lavagem de Cripto favorita da Coreia do Norte: THORChain

John-Paul Thorbjornsen, um ex-piloto da Força Aérea Australiana que se tornou um empreendedor de Cripto , passou as últimas semanas promovendo sua nova carteira de Cripto , "Vultisig". Construída no THORChain — um blockchain que ele fundou para permitir trocas de Cripto sem intermediários — o principal ponto de venda da carteira é que ela é mais difícil de hackear do que aplicativos semelhantes.

Recentemente, a Vultisig — juntamente com a própria rede THORChain — viu um pico de atividade, mas especialistas em segurança atribuíram o crescimento a uma fonte preocupante: o grupo de hackers Lazarus, da Coreia do Norte.

Seguindo fevereiroUS$ 1,4 bilhão de hackers da bolsa de Cripto Bybit — o maior assalto cibernético da história — THORChain surgiu como central para as operações de lavagem de dinheiro da Coreia do Norte. Pesquisadores têm acompanhou quase US$ 1,2 bilhão — ou 85%— dos fundos roubados pela rede, que se tornou a principal ferramenta do regime de Kim para mover Cripto entre blockchains.

Ao contrário de alguns outros serviços de blockchain, os operadores da THORChain se recusaram a bloquear transações vinculadas ao roubo da Bybit, apesar dos pedidos do FBI e de outras agências governamentais. Carteiras da THORChain como Asgardex e Vultisig — ferramentas que a maioria das pessoas usa para fazer transações na rede — também T se mexeram.

De acordo com estimativas de pesquisadores de segurança de blockchain que falaram com a CoinDesk, os principais desenvolvedores e validadores de carteiras da THORChain — muitos identificados publicamente e sediados em jurisdições com regulamentações rígidas contra lavagem de dinheiro, incluindo os EUA — ganharam mais de US$ 12 milhões em taxas relacionadas ao assalto.

Thorbjornsen, conhecido publicamente como JP Thor, insiste que não está mais envolvido nas operações diárias da THORChain, mas continua sendo seu defensor mais visível. “O protocolo continua funcionando e trocando apesar do caos”, disse ele à CoinDesk. “Está indo muito bem, na verdade.”

O Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC) já sancionou serviços de blockchain usados em conexão com lavagem de dinheiro, como o aplicativo mixer Tornado Cash (que desde então foiretirado da listadepois de umdecisão judicial) e Bitzlato, uma bolsa. Os promotores também acusaram operadores por trás de plataformas semelhantes.

Para especialistas jurídicos e a comunidade de Cripto , se o THORChain — um blockchain de camada 1 — deve ser tratado de forma diferente desses outros serviços reacende um debate fundamental enfrentado por praticamente todas as plataformas de Cripto : a rede é realmente descentralizada?

Os críticos argumentam que T é — pelo menos em comparação com blockchains populares como Bitcoin e Ethereum, que ganharam menos escrutínio por facilitar transações ilícitas. Os apoiadores do THORChain "afirmam que é descentralizado quando conveniente, mas estão lucrando com isso [hack do Bybit]", disse o pesquisador de segurança de blockchain Taylor Monahan. "É uma aparência realmente ruim."

As taxas de transação da THORChain — particularmente aquelas ganhas por seus aplicativos de carteira, que são mantidos por pequenas equipes de desenvolvedores — complicam ainda mais sua defesa. De acordo com um ex-funcionário do Departamento do Tesouro dos EUA, "Qualquer pessoa que ganhe dinheiro com taxas relacionadas à movimentação de fundos hackeados que já foram publicamente atribuídos ao Lazarus e à Coreia do Norte tem potencialmente um problema OFAC."

Até mesmo alguns dos apoiadores mais vocais do THORChain ficaram preocupados. "Quando a grande maioria dos seus fluxos são fundos roubados da Coreia do Norte para o maior assalto de dinheiro da história da Human , isso se tornará uma questão de segurança nacional", alertou um desenvolvedor do THORChain conhecido como "TCB" em X. "[T] T é mais um jogo."

O maior hack da história

O hack de fevereiro da Bybit, uma importante bolsa de Cripto sediada em Dubai, foi grande até mesmo para os padrões do grupo Lazarus — a unidade cibernética de elite norte-coreana por trás da maior parte os maiores assaltos de Criptoda última década.

O hack ocorreu depois que o fundador da Bybit foi enganado para interagir com um site que o Lazarus havia comprometido. O erro concedeu aos hackers acesso a algumas das carteiras Ethereum primárias da Bybit. Eles roubaram US$ 1,4 bilhão em tokens ether (ETH) da exchange.

Os lavadores de dinheiro da Coreia do Norte, experientes após anos de grandes roubos de Cripto , imediatamente começaram a dividir seu roubo recorde entre uma série de novas carteiras de Cripto — o primeiro passo de uma jornada complexa projetada para converter Cripto sujas em dinheiro limpo.

"A RPDC usa capacidades técnicas avançadas para lavar Criptomoeda", explicou Andrew Fierman, chefe de inteligência de segurança nacional da Chainalysis. Depois de mover os fundos "por meio de um grande número de carteiras intermediárias", os lavadores usam "pontes entre cadeias para mover os fundos roubados por vários ativos diferentes, como Bitcoin, Ethereum, TRON, Solana e outros".

O THORChain provou ser essencial para a fase de ponte, servindo como intermediário para a troca de tokens entre blockchains — muitas vezes repetidamente, para despistar os investigadores.

"Antes da THORChain existir, não havia como trocar de Ethereum para Bitcoin sem ficar congelado", explicou Monahan, pesquisador de segurança da MetaMask.

Serviços de swap centralizados — incluindo exchanges de Cripto como Coinbase e Binance — exigem que os usuários registrem suas contas e corram o risco de ter fundos ilícitos apreendidos. A maioria dos serviços descentralizados, por sua vez, não tem liquidez para suportar transações na escala do grupo Lazarus.

Colocar em aviso

No dia seguinte ao hack da Bybit, o volume diário de swap da THORChain ultrapassou US$ 529 milhões — seu maior dia de negociação de todos os tempos, de acordo com dados da DeFiLlama. Os volumes continuaram subindo por dias depois, gerando milhões de dólares em taxas para os validadores, provedores de liquidez e serviços de carteira da THORChain.

Em 27 de fevereiro, o FBI divulgou uma lista de endereços de blockchain vinculados à RPDC e pediu que "entidades do setor privado, incluindo operadores de nós RPC, bolsas, pontes, empresas de análise de blockchain, serviços DeFi e outros provedores de serviços de ativos virtuais bloqueassem transações com ou derivadas [deles]".

A essa altura, muitas das outras ferramentas de Cripto usadas pelos lavadores de dinheiro da Coreia do Norte já haviam começado a bloquear atividades relacionadas a assaltos.

Tether, a maior operadora de stablecoin, eventualmente congelou US$ 9 milhõesligado ao assalto, e Mantle, umblockchain de camada 2 conectado ao Ethereum, congelou Mais 41 milhões de dólares. Uma plataforma — uma bolsa descentralizada operada pela empresa OKX — interrompeu completamente seus serviços.

Por um momento, o THORChain pareceu que poderia Siga o exemplo. Em resposta ao aviso do FBI, um grupo de validadores do THORChain se coordenou para interromper as trocas de Ethereum no protocolo — um movimento destinado a desacelerar a saída de fundos ilícitos. Mas a pausa durou apenas 30 minutos antes de ser revertida após a resistência da comunidade.

"Não há prova, nem pode haver, de que qualquer transação assinada e propagada seja de uma localização geográfica específica", disse Thorbjornsen ao CoinDesk, argumentando que quaisquer vínculos entre o THORChain e a Coreia do Norte são "supostos", já que os usuários da rede não são forçados a se registrar.

A reversão da pausa provou ser um ponto de ruptura para alguns na comunidade THORChain . “Com efeito imediato, não estarei mais contribuindo para THORChain”, escreveu o desenvolvedor líder do protocolo, conhecido como “Pluto”, em um Postagem X.

Teatro de descentralização?

Thorbjornsen e outros sustentam que o THORChain deve ser tratado como um protocolo descentralizado como o Bitcoin ou o Ethereum, nenhum dos quais bloqueou transações após o assalto da Bybit.

Eles apontam para sua comunidade de mais de 100 validadores — computadores que verificam transações — como evidência de que nenhuma entidade controla o sistema.

O modelo de governança da THORChain depende desses validadores que apostam o token RUNE nativo da rede para participar do consenso e ganhar recompensas. Em teoria, as principais decisões do protocolo exigem a aprovação de uma supermaioria desses validadores, criando uma estrutura de poder distribuída resistente ao controle centralizado.

Os críticos, no entanto, argumentam que a rede não é tão descentralizada quanto alegado. Em janeiro, um único desenvolvedorpausou a rededurante uma crise de liquidez — uma ação que deveria ter exigido consenso do validador se o sistema fosse mais descentralizado.

Quando a THORChain estava envolvida em operações anteriores de lavagem de dinheiro na Coreia do Norte, "nos disseram que não havia nada que pudessem fazer sobre os fundos ilícitos", disse Monahan. "O tempo todo, JP tinha uma única chave privada que tinha controle sobre todo o sistema."

Thorbjornsen admite que a cadeia foi pausada por um detentor de chave administrativa em um momento em que a THORChain estava enfrentando uma ameaça "existencial".

A pausa foi anunciada por um desenvolvedor com o pseudônimo "Leena". Thorbjornsen criou a conta Leena no início do desenvolvimento do THORChain e inicialmente a usou para esconder sua identidade real.

Ele agora diz que a conta Leena não é mais controlada somente por ele, e outra pessoa pausou a cadeia de acordo com procedimentos de segurança aceitáveis. "A chave foi usada por um detentor de chave — E não há registro de detentores de chave", ele disse.

Para Thorbjornsen, o debate sobre quem controlava a chave de administração ignora o ponto principal.

"Nos primeiros anos de existência do Bitcoin , você poderia facilmente ter argumentado que o Bitcoin era completamente centralizado", disse ele ao CoinDesk, apontando para um caso em 2010 ondeSatoshi atualizou o blockchain original para corrigir um grande bug.

"A descentralização é conquistada, e é conquistada por anos de estar na arena e provar isso", disse Thorbjornsen. "Todas essas coisas como a pausa e a retomada... tudo isso faz parte da jornada da descentralização."

Negócios como sempre

Em 1º de março, o maior dia de negociação da THORChain após o assalto à Bybit, a rede registrou mais de US$ 1 bilhão em swaps, mais do que normalmente processa em um mês inteiro.

A atividade foi uma bênção para os provedores de infraestrutura da THORChain — serviços de carteira e validadores que ficam com uma parte de cada transação na rede.

De acordo com a empresa de análise forense de blockchain Chainalysis, os operadores de nó THORChain ganharam pelo menos US$ 12 milhões em taxas relacionadas ao assalto da Bybit. A Chainalysis chamou sua estimativa de "conservadora".

De acordo com especialistas jurídicos, essas taxas são o que podem, em última análise, colocar os operadores da THORChain em apuros. Um ex-funcionário do Departamento do Tesouro dos EUA alertou em uma entrevista com a CoinDesk que "muito disso se resume à questão de quem está ganhando dinheiro: é um conjunto concentrado de pessoas e é relativamente sabido que [os fundos] são de maus atores?"

Aplicativos de carteira como Vultisig e Asgardex receberam atenção especial de especialistas jurídicos e de segurança, já que aplicativos "frontend" usados para interagir com blockchains são geralmente considerados mais centralizados do que os próprios blockchains.

Asgardex, uma das carteiras THORChain mais populares, ganhou US$ 1 milhão com transações vinculadas à Bybit, de acordo com Monahan. "A razão pela qual você usa Asgardex" em oposição a outras carteiras THORChain "é porque você T quer rastreamento — você T quer filtragem ou algo assim", disse Thorbjornsen, que ajudou a desenvolver o programa.

Thorbjornsen diz que não tem mais participação operacional ou financeira na Asgardex, que é de código aberto e pode ser tecnicamente reprogramada por seus usuários para operar sem taxas. No entanto, ele recentemente promoveu ativamente a VultiSig, sua nova carteira THORChain resistente a hack.

Em 20 de março, Thorbjornsen se gabou em umPostagem X que mais pessoas do que nunca estavam usando o aplicativo: "Os swaps Vultisig arrecadaram US$ 200 mil em receita até agora!" ZachXBT, um detetive de Cripto conhecido por investigar as operações cibernéticas da Coreia do Norte, respondeu apontando que "uma boa parte dessa receita está sendo gerada pelo hack da Bybit".

"Vultisig não é uma cadeia", disse ZachXBT. "[E]les operam uma interface centralizada para que os usuários interajam com protocolos por uma taxa."

Em 16 de abril, a Vultisig está lançando seu token Cripto oficial: VULT. O token será distribuído gratuitamente para alguns dos usuários mais fiéis da carteira.