$10 Milhão de Cripto Roubo Roteado para Tornado Cash Expõe Vulnerabilidades Críticas de Segurança

Um "whale" de criptomoeda que foi vítima de um sofisticado ataque de phishing no ano passado viu $10 milhões em Éter roubado serem movidos para o serviço de mistura de criptomoedas Tornado Cash, destacando as persistentes ameaças de segurança no ecossistema de ativos digitais.

Movimento de Fundos Maior do Hack de Setembro

No dia 21 de março, a empresa de segurança em blockchain CertiK identificou atividade suspeita onde uma conta ligada ao incidente de phishing de setembro de 2023 transferiu 3.700 ETH ( aproximadamente $10 milhões ) para o Tornado Cash. Esta transferência representa uma parte significativa dos $24 milhões em ativos roubados durante o ataque original em 6 de setembro de 2023.

A vítima, uma baleia de criptomoedas, perdeu participações substanciais em ETH em stake através do serviço de staking de liquidez Rocket Pool. O ataque sofisticado ocorreu em duas fases distintas:

• Primeira fase: Remoção de 9,579 stETH
• Segunda fase: Roubo de 4,851 rETH

Análise Técnica da Exploração

O projeto de segurança Scam Sniffer revelou a vulnerabilidade técnica que permitiu o ataque: a vítima tinha autorizado uma transação de "Aumentar Autorização", que se mostrou catastrófica. Esta função específica do contrato inteligente permite que terceiros gastem tokens ERC-20 pertencentes a outros—com consentimento.

Como o Ataque Funcionou:

1. A vítima autorizou uma transação de "Aumentar Atribuição"
2. O atacante obteve direitos de aprovação para os tokens da vítima
3. A funcionalidade de contrato inteligente foi explorada para transferir tokens
4. Os ativos foram convertidos para maximizar a anonimidade

A violação de segurança gerou uma intensa discussão na comunidade de criptomoedas sobre os riscos inerentes às aprovações de tokens, particularmente ao interagir com contratos inteligentes potencialmente maliciosos.

Conversão de Ativos e Caminho de Lavagem

A empresa de inteligência em blockchain PeckShield rastreou as ações subsequentes do atacante, documentando como os ativos roubados foram sistematicamente convertidos em:

• 13,785 Éter
• 1,64 milhões de stablecoins Dai

Após a conversão, partes do DAI foram direcionadas para a exchange FixedFload, enquanto os fundos restantes roubados foram distribuídos por vários endereços de carteira para obscurecer sua origem antes da mais recente transferência do Tornado Cash.

Crescente Tendência de Explorações de Aprovação

Este incidente representa parte de um padrão preocupante em violações de segurança de criptomoedas. Somente em fevereiro, quase $47 milhões foram perdidos devido a fraudes relacionadas a phishing, de acordo com o relatório do Scam Sniffer, com:

• 78% dos furtos que ocorrem na rede Éter
• Tokens ERC-20 representando 86% de todos os fundos roubados

As vulnerabilidades de aprovação de tokens continuam a causar perdas significativas. Apenas um dia antes de esta transferência de $10 milhões ser identificada, um contrato desatualizado anteriormente utilizado pela exchange Dolomite foi explorado, drenando $1,8 milhões de usuários que haviam concedido permissões ao contrato. Os desenvolvedores da Dolomite posteriormente instaram os usuários a revogar todos os consentimentos ao endereço do contrato comprometido.

Respostas Rápidas Previne Perdas Adicionais

Embora muitos ataques resultem em perdas substanciais, respostas de segurança rápidas podem mitigar os danos. No dia 20 de março, a equipe da Layerswap conseguiu prevenir uma exploração adicional após o comprometimento de seu site, graças à intervenção rápida de seu provedor de domínio. Apesar de sua ação rápida, os atacantes ainda conseguiram extrair aproximadamente $100,000 de cerca de 50 usuários. A Layerswap se comprometeu a reembolsar os usuários afetados e a fornecer uma compensação adicional pelo transtorno.

Estes incidentes recorrentes sublinham a importância crítica da vigilância de segurança nas transações de criptomoeda. A exploração de funções de aprovação de tokens e vulnerabilidades de contratos inteligentes destaca a necessidade de uma educação do utilizador aprimorada e verificação cuidadosa de todas as interações contratuais para prevenir perdas desnecessárias de ativos num ambiente de ameaças cada vez mais sofisticado.