Hacker direciona $10 milhões em Saque de Phishing para Tornado Cash

Um “baleia” de criptomoedas foi vítima de um sofisticado ataque de phishing no ano passado, resultando na transferência não autorizada de $10 milhões em Éter para o Tornado Cash, um notório serviço de mistura de criptomoedas.

No dia 21 de março, a CertiK identificou uma conta ligada ao hack de setembro de 2023 que desviou $24 milhões da vítima. O ataque desenrolou-se em duas fases, despojando o investidor de 9.579 stETH e 4.851 rETH do seu serviço de staking Rocket Pool.

Fico sempre admirado com como esses ataques têm sucesso através de mecanismos tão simples. Neste caso, a vítima autorizou uma transação de “Aumentar Limite” - essencialmente dando ao hacker permissão para gastar seus tokens. É como entregar a alguém a sua carteira e ficar surpreso quando eles pegam o seu dinheiro.

A comunidade cripto tem debatido extensivamente as aprovações de tokens, e com boa razão. Estas funções de contratos inteligentes são armas de dois gumes - convenientes para usos legítimos, mas devastadoras quando exploradas. O atacante converteu astuciosamente os ativos roubados em 13,785 Éter e 1,64 milhões de Dai, distribuindo-os por várias carteiras para obscurecer seus rastros.

As estatísticas de fevereiro são ainda mais alarmantes - quase $47 milhões perdidos devido a fraudes de phishing em um único mês! Os usuários de Éter parecem particularmente vulneráveis, representando 78% desses roubos. Não posso deixar de me perguntar se a complexidade do ecossistema do Éter torna os usuários mais suscetíveis a esses ataques.

A recente drenagem de $1,8 milhões dos usuários da exchange Dolomite através de um contrato antigo destaca ainda mais os perigos das aprovações esquecidas. Muitos usuários não percebem que essas permissões persistem indefinidamente, a menos que sejam explicitamente revogadas.

Nem todos os ataques têm sucesso completo - a rápida resposta da Layerswap limitou a sua recente violação a “apenas” 100.000 $ de cerca de 50 utilizadores. Embora tenham prometido reembolsos e compensações, o dano psicológico à confiança dos utilizadores permanece.

Esses incidentes revelam uma realidade preocupante: apesar de anos de avisos, o phishing continua a ser devastadoramente eficaz em cripto. A sofisticação técnica do blockchain contrasta fortemente com a vulnerabilidade humana à engenharia social. Até que possamos superar essa lacuna através de uma melhor educação e ferramentas de segurança, milhões continuarão a fluir para atacantes que entendem que explorar a confiança humana é muitas vezes mais fácil do que quebrar a criptografia.