Hacker transfere $10 milhões de um ataque de Phishing para o Tornado Cash

Um sofisticado ataque de phishing que originalmente comprometeu $24 milhões em ativos de criptomoeda teve novos desdobramentos, à medida que pesquisadores de segurança em blockchain identificaram o movimento de $10 milhões para um serviço de mistura.

A CertiK, uma proeminente empresa de segurança em blockchain, relatou a 21 de março que uma das carteiras envolvidas em um grande incidente de phishing em setembro de 2023 transferiu 3.700 ETH (aproximadamente $10 milhões) para o Tornado Cash, um serviço de mistura de criptomoedas conhecido por ocultar rastros de transações.

Os fundos originaram-se de uma violação de segurança significativa que ocorreu em 6 de setembro de 2023, quando um "whale" de criptomoeda ( um indivíduo detentor de ativos digitais substanciais ) perdeu $24 milhões em ETH apostados através do protocolo de staking de liquidez Rocket Pool. O ataque ocorreu em duas fases distintas, com 9.579 stETH removidos na violação inicial, seguidos pelo roubo de 4.851 rETH em uma transação subsequente.

Análise Técnica do Vetor de Ataque

Os investigadores de segurança do projeto Scam Sniffer identificaram que a vulnerabilidade fundamental explorada neste ataque envolveu a vítima a autorizar uma transação de "Aumentar Autorização". Este mecanismo técnico crítico dentro do padrão de token ERC-20 permite que terceiros gastem tokens pertencentes a outra carteira—mas apenas com autorização explícita do proprietário.

O atacante aproveitou essa funcionalidade para obter aprovação para transferir os tokens da vítima para endereços sob seu controle. Uma vez concedidas, essas autorizações permitiram ao atacante drenar sistematicamente as posses da vítima em várias transações.

Esta exploração gerou uma discussão significativa dentro dos círculos de segurança sobre os riscos inerentes às aprovações de tokens, particularmente ao interagir com contratos inteligentes não verificados que podem conter código malicioso projetado para manipular esses mecanismos de autorização.

Rastreando os Ativos Roubados

PeckShield, outra empresa de segurança em blockchain que está a monitorizar o incidente, documentou como o atacante converteu os ativos roubados em 13.785 ETH e aproximadamente 1,64 milhões de stablecoins Dai. O atacante posteriormente transferiu partes do DAI para a exchange FixedFload, enquanto distribuía os restantes fundos roubados por várias carteiras para complicar os esforços de rastreio.

A recente transferência para o Tornado Cash representa uma tentativa significativa de obscurecer ainda mais a origem destes ativos obtidos de forma ilícita, uma vez que os serviços de mistura misturam criptomoeda de várias fontes para romper a conexão on-chain entre os endereços de envio e recepção.

Implicações de Segurança Mais Amplas

Este incidente destaca a ameaça persistente dos ataques de phishing no setor das criptomoedas. De acordo com um relatório de fevereiro do projeto Scam Sniffer, quase $47 milhões foram perdidos em fraudes relacionadas com phishing apenas nesse mês. O relatório revelou ainda que 78% desses roubos ocorreram na rede Ethereum, com os tokens ERC-20 a representarem 86% de todos os fundos roubados.

As preocupações de segurança em torno das aprovações de tokens foram ainda mais reforçadas por incidentes recentes adicionais. No dia 20 de março, um contrato desatualizado anteriormente utilizado pela exchange Dolomite foi explorado para drenar $1,8 milhão de usuários que haviam concedido permissões ao contrato. Em resposta, a equipe de desenvolvimento da Dolomite pediu aos usuários que revogassem imediatamente todas as aprovações concedidas ao endereço do contrato comprometido.

Exemplos de Resposta de Segurança

Embora algumas violações de segurança resultem em perdas financeiras significativas, respostas rápidas podem mitigar danos. Por exemplo, quando o site da Layerswap foi comprometido em 20 de março, a rápida coordenação da equipe com seu provedor de domínio ajudou a conter o ataque. Apesar dessa resposta rápida, aproximadamente 50 usuários ainda perderam ativos no valor de $100.000. A Layerswap anunciou posteriormente o reembolso total para os usuários afetados e uma compensação adicional pelo incidente.

A crescente sofisticação dos ataques de phishing sublinha a importância crítica da conscientização sobre segurança entre os usuários de criptomoedas. Deve-se prestar atenção especial à revisão e limitação das aprovações de tokens, à verificação dos detalhes das transações antes de assinar e à implementação de medidas de segurança adicionais, como carteiras de hardware para grandes holdings.

Como estes incidentes demonstram, mesmo os utilizadores experientes de criptomoedas podem ser vítimas de engenharia social sofisticada e explorações técnicas. A colaboração contínua entre empresas de segurança, desenvolvedores de protocolos e iniciativas de educação dos utilizadores continua a ser essencial para melhorar a postura de segurança global do ecossistema de ativos digitais.