La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos anunció el viernes que sancionaba al mezclador de criptomonedas Blender.io por su papel en el blanqueo de los ingresos procedentes del hackeo del puente Ronin de Axie Infinity. Los hackers norcoreanos patrocinados por el Estado, Lazarus Group, han sido identificados como los autores del ataque.
El Subsecretario del Tesoro para el Terrorismo y la Inteligencia Financiera, Brian E. Nelson, dijo en un comunicado:
«Hoy, por primera vez, el Tesoro sanciona a un mezclador de monedas virtuales. […] Estamos tomando medidas contra la actividad financiera ilícita de la RPDC y no permitiremos que el robo patrocinado por el Estado y sus facilitadores de blanqueo de dinero queden sin respuesta».
En virtud de las sanciones, todos los bienes de Blender.io en Estados Unidos o en posesión de personas estadounidenses están bloqueados y deben ser comunicados a la OFAC.
Según la OFAC, Blender.io procesó 20,5 millones de dólares de los aproximadamente 620 millones de dólares robados del juego «play-to-earn» con sede en Vietnam, en forma de aproximadamente 173.600 Ether (ETH) y 25,5 millones de USD Coin (USDC). La OFAC también descubrió durante su investigación que Blender.io había facilitado el blanqueo de dinero para grupos de ransomware vinculados a Rusia, como Trickbot, Conti, Ryuk, Sodinokibi y Gandcrab. El sitio web de Blender.io estaba fuera de línea en el momento de redactar este informe.
La agencia del Tesoro también añadió las direcciones de cuatro monederos utilizados por Lazarus Group para blanquear parte de los fondos robados a su Lista de Nacionales Especialmente Designados y Personas Bloqueadas.
There has been a security breach on the Ronin Network.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) March 29, 2022
El hackeo de Ronin Bridge tuvo lugar el 23 de marzo, pero no se descubrió hasta la semana siguiente. Se accedió al puente a través del desarrollador de juegos Sky Mavis. Esta organización había sido incluida en la lista blanca de forma indefinida tras ayudar a procesar un aumento de las transacciones. Sky Mavis recaudó 150 millones de dólares para reembolsar a los usuarios que perdieron dinero en el exploit, y Binance pudo recuperar 5,8 millones de dólares del dinero de 86 cuentas. Lazarus Group fue identificado como los hackers por la OFAC a mediados de abril.