$10 Milhões em ETH Movidos para Tornado Cash Após Grande Ataque de Phishing

Uma violação significativa de segurança em criptomoedas ocorreu em março de 2024, quando um atacante transferiu $10 milhões em Ethereum para o Tornado Cash, um serviço de mistura de criptomoedas. Esta transferência resulta de um ataque de phishing em setembro de 2023 que comprometeu com sucesso uma conta "whale" de criptomoeda.

Linha do Tempo e Detalhes do Ataque

No dia 21 de março, a empresa de segurança em blockchain CertiK identificou atividade suspeita quando uma conta envolvida em um hack anterior de $24 milhões enviou 3.700 Éter para o Tornado Cash. Esses fundos originaram-se de uma operação de phishing sofisticada que visou um investidor de criptomoedas de alto valor em 6 de setembro de 2023.

O ataque inicial ocorreu em duas fases distintas, com o atacante primeiro removendo 9.579 stETH ( Ethereum em stake, um token derivado que representa o ETH em stake na rede Ethereum), seguido pelo roubo de 4.851 rETH (Rocket Pool ETH, outra forma de ETH em stake) da carteira da vítima.

Análise Técnica do Método de Ataque

De acordo com o projeto Scam Sniffer, uma plataforma focada na deteção de fraudes em criptomoedas, a vítima foi comprometida após autorizar uma transação de "Aumentar Limite". Este erro crítico de segurança permitiu ao atacante aprovar transferências de tokens para seu próprio benefício.

O ataque explorou o mecanismo de aprovação do padrão de token ERC-20, que permite que contratos inteligentes transfiram tokens em nome de seus proprietários quando a autorização adequada é concedida. Embora essa funcionalidade seja essencial para muitas aplicações DeFi legítimas, apresenta riscos de segurança significativos quando manipulada por atores maliciosos.

A PeckShield, outra empresa de segurança em blockchain, relatou que o atacante posteriormente converteu os ativos roubados em 13.785 ETH e 1,64 milhões de Dai stablecoin. O atacante então distribuiu esses fundos por vários destinos, transferindo algum DAI para a exchange FixedFload enquanto movia os restantes ativos roubados para vários endereços de carteira.

Implicações de Segurança Mais Amplas

Os ataques de phishing continuam a ser uma das ameaças mais prevalentes no setor das criptomoedas. De acordo com dados compilados pelo Scam Sniffer, apenas em fevereiro, quase $47 milhões em perdas foram registadas devido a fraudes relacionadas com phishing.

O relatório destacou que 78% dessas violações de segurança visaram a rede Ethereum, com tokens ERC-20 representando 86% de todos os fundos roubados. Este padrão ressalta a contínua vulnerabilidade mesmo de usuários experientes de criptomoedas a táticas sofisticadas de engenharia social.

Incidentes de Segurança Recentes Relacionados

A indústria de criptomoedas tem assistido a várias violações de segurança semelhantes recentemente. No dia 20 de março, um contrato desatualizado anteriormente utilizado pela exchange Dolomite foi explorado, resultando na drenagem de 1,8 milhões de dólares de usuários que tinham concedido permissões ao contrato. Em resposta, os desenvolvedores da Dolomite instaram todos os usuários a revogar autorizações anteriormente concedidas ao endereço do contrato comprometido.

Nem todos os incidentes de segurança resultam em perdas irreversíveis. No mesmo dia ( de março de 20), a equipe da Layerswap conseguiu mitigar uma violação de site graças à ação rápida do seu provedor de domínio. Apesar da resposta rápida, os atacantes conseguiram roubar aproximadamente $100,000 de cerca de 50 usuários. A Layerswap comprometeu-se a reembolsar os usuários afetados e a fornecer uma compensação adicional pela inconveniência.

Recomendações de Segurança

Estes incidentes destacam práticas de segurança críticas para detentores de criptomoedas:

• Revise regularmente e revogue as aprovações de tokens concedidas a contratos inteligentes
• Verifique todos os detalhes da transação antes de assinar, especialmente os pedidos "Aprovar" ou "Aumentar Limite".
• Utilize carteiras de hardware e soluções de múltiplas assinaturas para ativos significativos
• Implementar ferramentas de monitoramento de transações para detectar atividades suspeitas prontamente

A exploração das funções de aprovação de tokens demonstra a importância de uma maior consciência de segurança entre os usuários de criptomoeda, particularmente em relação aos mecanismos técnicos que poderiam potencialmente expor os seus ativos ao roubo.

À medida que os atacantes continuam a desenvolver métodos cada vez mais sofisticados, a comunidade de criptomoedas deve permanecer vigilante e priorizar a educação em segurança para reduzir a prevalência e o impacto de ataques de phishing e outras atividades fraudulentas no ecossistema.