# DMM Bitcoin Heist 2024 > [!critical] > Em maio de 2024, a exchange jáponesa **DMM Bitcoin** sofreu o maior roubo de criptomoedas do Jápão em 6 anos: 4.502,9 BTC (US$ 308 milhões) foram furtados em uma operação atribuida pelo FBI e pela policia jáponesa ao grupo norte-coreano **TraderTraitor**, subgrupo do Lazarus Group. O ataque forcou o encerramento da exchange em dezembro de 2024. ## Visão Geral O ataque a DMM Bitcoin e um dos maiores roubos de criptomoedas da historia e representa o modelo operacional mais sofisticado do [[g0032-lazarus-group]] em 2024. O [[tradertraitor]] - subgrupo especializado em espionagem e roubo no ecossistema blockchain - conduziu uma operação de engenharia social em múltiplos estagios que resultou no comprometimento de uma empresa parceira de software de carteiras cripto. Ao contrario dos ataques diretos a exchanges, o TraderTraitor comprometeu a empresa jáponesa Ginco - desenvolvedora de software de carteiras cripto - por meio de um recrutador falso no LinkedIn que enviou a um funcionario um arquivo malicioso disfarado de teste pre-emprego. Com as sessoes de cookies roubadas do funcionario comprometido, os atacantes acessaram sistemas internos da Ginco e manipularam uma transação legitima de um funcionario da DMM Bitcoin, desviando os fundos para carteiras controladas pelos atacantes. A operação de lavagem subsequente revelou o nivel de sofisticacao do Lazarus: os fundos foram misturados em mixers de Bitcoin, fragmentados em centenas de carteiras (peel chains de 499 BTC reduzindo a 39 BTC por salto), convertidos em outros ativos via THORChain e Avalanche Bridge, e finalmente transferidos para USDT na rede Tron antes de chegar a plataforma Huione Guarantee no Cambodjá - um conhecido hub de lavagem de recursos no sudeste asiatico. A Tether congelou uma carteira Tron com US$ 29,6 milhões de USDT em resposta ao incidente. A DMM Bitcoin tentou compensar seus usuarios levantando o equivalente em BTC, mas o impacto financeiro foi insustentavel. Em novembro de 2024, a empresa anunciou o encerramento das operações, e em marco de 2025 os ativos dos clientes foram transferidos para a SBI VC Trade. ## Attack Flow ```mermaid graph TB A["👤 Engenharia Social LinkedIn<br/>Recrutador falso aborda<br/>funcionario da Ginco"] --> B["📎 Entrega de Malware<br/>Arquivo ZIP com teste<br/>pre-emprego malicioso"] B --> C["🍪 Roubo de Sessao<br/>Cookies de sessao da Ginco<br/>exfiltrados via T1550.004"] C --> D["🏢 Acesso Ginco<br/>Canal de comúnicação<br/>interno comprometido"] D --> E["💸 Manipulação de Transação<br/>Solicitacao legitima da DMM<br/>redirecionada pelos atacantes"] E --> F["🔗 Lavagem em Cadeia<br/>Mixer BTC + THORChain<br/>+ Avalanche Bridge + USDT Tron"] F --> G["🏦 Huione Guarantee<br/>Hub de lavagem Cambojá<br/>US$ 35M+ transferidos"] ``` ## Cronologia ```mermaid timeline title DMM Bitcoin Heist - Linha do Tempo Mai 2024 : 30 mai - DMM Bitcoin confirma vazamento nao autorizado : 4.502,9 BTC (US$ 308M) roubados Jul 2024 : ZachXBT identifica similaridades com Lazarus Group : Tether congela US$ 29,6M USDT ligados ao Huione Dez 2024 : FBI e policia jáponesa atribuem ao TraderTraitor : DMM Bitcoin anuncia encerramento de operacoes Mar 2025 : Transferencia de ativos dos clientes para SBI VC Trade ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1566.003-spearphishing-via-service\|T1566.003]] | Recrutador falso no LinkedIn com arquivo malicioso | | Movimento Lateral | [[T1550.004-use-alternate-authentication-material-web-session-cookie\|T1550.004]] | Cookies de sessao para impersonar funcionarios | | Cadeia de Suprimentos | [[T1195.001-supply-chain-compromise-compromise-software-dependencies\|T1195.001]] | Comprometimento da Ginco para atingir DMM | | Exfiltração | [[T1041-exfiltration-over-c2-channel\|T1041]] | Transação blockchain fraudulenta | | Lavagem | Peel chains + mixers | Fragmentacao e conversao cross-chain | | C2 | [[T1071.001-application-layer-protocol-web-protocols\|T1071.001]] | HTTPS para C2 dos implantes | ## Vitimas e Impacto - **DMM Bitcoin**: Exchange jáponesa; forcada a encerrar operações após US$ 308M roubados - **Ginco**: Empresa de software de carteiras; comprometida como vetor de acesso a DMM - **Clientes DMM**: ~320.000 usuarios afetados; compensados via transferencia para SBI VC Trade - **Segundo maior roubo de cripto no Jápao** (atras apenas do hack da Coincheck em 2018: US$ 530M) ## Relevância LATAM Embora o ataque nao tenha impacto direto no LATAM, o TraderTraitor opera globalmente e tem mira em exchanges e plataformas DeFi em toda América Latina. O modelo operacional - engenharia social via LinkedIn + comprometimento de fornecedor + manipulação de transação - e diretamente relevante para o [[financial|setor financeiro]] e de [[financial|criptomoedas]] no Brasil, onde exchanges como Mercado Bitcoin, Foxbit e Binance BR concentram volumes crescentes. O [[g0032-lazarus-group]] já miraram em prestadores de servicos de software cripto em toda a APAC, o que pode se expandir para o LATAM a medida que o mercado cresce. ## Mitigação - Implementar verificação rigorosa de identidade para qualquer teste pre-emprego recebido online - Adotar politicas de privilegio mínimo e MFA em sistemas de gestao de carteiras - Monitorar acessos de sessao incomuns (login de novo IP/dispositivo para usuarios privilegiados) - Estabelecer processos de válidação independente para transações de alto valor - Assinar feeds de threat intel específicos para rastreamento do Lazarus/TraderTraitor - Consultar IOCs públicados pelo FBI e pela policia jáponesa (NPA) ## Referências - [1](https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist) Wiz Research - TraderTraitor Deep Dive (2025) - [2](https://cryptoslaté.com/north-koreas-lazarus-group-tied-to-305m-crypto-breach-of-jápans-dmm-exchange/) CryptoSlaté - Lazarus Group Tied to DMM Breach (2024) - [3](https://themarketperiodical.com/2024/12/02/jápanese-crypto-exchange-dmm-bitcoin-to-shut-down-after-320m-hack/) The Market Periodical - DMM Bitcoin Shut Down (2024) - [4](https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks) Picus Security - Lazarus Group TTPs (2025)